Des attaquants inconnus ont déployé une porte dérobée nouvellement découverte baptisée Msupedge sur les systèmes Windows d’une université à Taiwan, probablement en exploitant une vulnérabilité d’exécution de code à distance PHP récemment corrigée (CVE-2024-4577).

CVE-2024-4577 est une faille critique d’injection d’arguments PHP-CGI corrigée en juin qui affecte les installations PHP exécutées sur les systèmes Windows avec PHP exécuté en mode CGI. Il permet aux attaquants non authentifiés d’exécuter du code arbitraire et conduit à une compromission complète du système après une exploitation réussie.

Les auteurs de la menace ont abandonné le logiciel malveillant sous la forme de deux bibliothèques de liens dynamiques (blog.dll et wmiclnt.dll), le premier chargé par httpd.processus exe Apache.

La caractéristique la plus remarquable de Msupedge est l’utilisation du trafic DNS pour communiquer avec le serveur de commande et de contrôle (C&C). Bien que de nombreux groupes de menaces aient adopté cette technique dans le passé, elle n’est pas couramment observée dans la nature.

Il exploite le tunneling DNS (une fonctionnalité implémentée basée sur l’outil open source dnscat2), qui permet d’encapsuler les données dans les requêtes DNS et les réponses pour recevoir des commandes de son serveur C & C.

Les attaquants peuvent utiliser Msupedge pour exécuter diverses commandes, qui sont déclenchées en fonction du troisième octet de l’adresse IP résolue du serveur C&C. La porte dérobée prend également en charge plusieurs commandes, notamment la création de processus, le téléchargement de fichiers et la gestion des fichiers temporaires.

Exploitation des failles PHP RCE
L’équipe de chasseurs de menaces de Symantec, qui a enquêté sur l’incident et repéré le nouveau logiciel malveillant, pense que les attaquants ont eu accès aux systèmes compromis après avoir exploité la vulnérabilité CVE-2024-4577.

Cette faille de sécurité contourne les protections mises en œuvre par l’équipe PHP pour CVE-2012-1823, qui a été exploitée dans des attaques de logiciels malveillants des années après sa correction pour cibler les serveurs Linux et Windows avec des logiciels malveillants RubyMiner.

« L’intrusion initiale était probablement due à l’exploitation d’une vulnérabilité PHP récemment corrigée (CVE-2024-4577) », a déclaré l’équipe de chasseurs de menaces de Symantec.

« Symantec a vu plusieurs acteurs de la menace rechercher des systèmes vulnérables ces dernières semaines. À ce jour, nous n’avons trouvé aucune preuve nous permettant d’attribuer cette menace et le motif de l’attaque reste inconnu. »

Vendredi, un jour après que les mainteneurs PHP ont publié les correctifs CVE-2024-4577, WatchTowr Labs a publié le code d’exploitation de preuve de concept (PoC). Le même jour, la Fondation Shadowserver a signalé avoir observé des tentatives d’exploitation de leurs pots de miel.

Un jour plus tard, moins de 48 heures après la publication des correctifs, le gang de ransomwares TellYouThePass a également commencé à exploiter la vulnérabilité pour déployer des webshells et chiffrer les systèmes des victimes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *