La vulnérabilité critique Spring4Shell récemment révélée est activement exploitée par des acteurs de la menace pour exécuter le malware du botnet Mirai, en particulier dans la région de Singapour depuis début avril 2022. « L’exploitation permet aux pirates de télécharger l’échantillon de Mirai dans le dossier ‘/tmp’ et de les exécuter après un changement d’autorisation à l’aide de ‘chmod' », ont déclaré les chercheurs de Trend Micro Deep Patel, Nitesh Surana et Ashish Verma dans un rapport publié vendredi. Suivie comme CVE-2022-22965 (score CVSS : 9,8), la vulnérabilité pourrait permettre à des acteurs malveillants d’exécuter du code à distance dans des applications Spring Core dans des circonstances autres que celles par défaut, accordant aux attaquants un contrôle total sur les appareils compromis. Le développement intervient alors que la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté plus tôt cette semaine la vulnérabilité Spring4Shell à son catalogue de vulnérabilités exploitées connues sur la base de « preuves d’exploitation active ».
C’est loin d’être la première fois que les opérateurs de botnet s’empressent d’ajouter des failles nouvellement rendues publiques à leur ensemble d’outils d’exploitation. En décembre 2021, plusieurs botnets, dont Mirai et Kinsing, ont été découverts en exploitant la vulnérabilité Log4Shell pour violer des serveurs sensibles sur Internet.
Mirai, qui signifie « futur » en japonais, est le nom donné à un malware Linux qui a continué à cibler les appareils domestiques intelligents en réseau tels que les caméras IP et les routeurs et à les relier dans un réseau d’appareils infectés appelé botnet.
Le botnet IoT, utilisant le troupeau de matériel piraté, peut ensuite être utilisé pour commettre d’autres attaques, y compris des attaques de phishing à grande échelle, l’extraction de crypto-monnaie, la fraude au clic et les attaques par déni de service distribué (DDoS).
Pour aggraver les choses, la fuite du code source de Mirai en octobre 2016 a donné naissance à de nombreuses variantes telles que Okiru, Satori, Masuta et Reaper, ce qui en fait une menace en constante mutation.
« Le code [Mirai] est si influent que même certaines des ramifications de logiciels malveillants commencent à avoir leurs propres versions de code publiées et cooptées par d’autres cybercriminels », ont déclaré les chercheurs d’Intel 471 le mois dernier, soulignant le téléchargement de la source du botnet BotenaGo. code sur GitHub en janvier 2022.
Plus tôt en janvier, la société de cybersécurité CrowdStrike a noté que les logiciels malveillants frappant les systèmes Linux ont augmenté de 35 % en 2021 par rapport à 2020, les familles de logiciels malveillants XOR DDoS, Mirai et Mozi représentant plus de 22 % des menaces ciblées sur Linux observées au cours de l’année.
« L’objectif principal de ces familles de logiciels malveillants est de compromettre les appareils vulnérables connectés à Internet, de les rassembler dans des botnets et de les utiliser pour effectuer des attaques par déni de service distribué (DDoS) »,