Une nouvelle variante du malware Aquabot basé sur le botnet Mirai a été observée exploitant activement CVE-2024-41710, une vulnérabilité d’injection de commandes dans les téléphones SIP Mitel.
L’activité a été découverte par l’Équipe de renseignement et d’intervention en matière de sécurité (SIRT) d’Akamai, qui indique qu’il s’agit de la troisième variante d’Aquabot qui tombe sous leur radar.
La famille de logiciels malveillants a été introduite en 2023, et une deuxième version qui ajoutait des mécanismes de persistance a été publiée plus tard. La troisième variante, « Aquabotv3 », a introduit un système qui détecte les signaux de terminaison et envoie les informations au serveur de commande et de contrôle (C2).
Akamai commente que le mécanisme d’Aquabotv3 pour signaler les tentatives de suppression est inhabituel pour les botnets et peut avoir été ajouté pour offrir à ses opérateurs une meilleure surveillance.
Cibler les téléphones Mitel
CVE-2024-41710 est une faille d’injection de commande affectant les téléphones SIP Mitel des séries 6800, 6900 et 6900w, généralement utilisés dans les bureaux d’entreprise, les entreprises, les agences gouvernementales, les hôpitaux, les établissements d’enseignement, les hôtels et les institutions financières.
Il s’agit d’une faille de gravité moyenne qui permet à un attaquant authentifié disposant de privilèges d’administrateur de mener une attaque par injection d’arguments en raison d’une désinfection insuffisante des paramètres pendant le processus de démarrage, entraînant l’exécution arbitraire de commandes.
Mitel a publié des correctifs et un avis de sécurité concernant cette faille le 17 juillet 2024, exhortant les utilisateurs à effectuer une mise à niveau. Deux semaines plus tard, le chercheur en sécurité Kyle Burns a publié une preuve de concept (PoC) sur GitHub.
L’utilisation par Aquabotv3 de ce PoC pour exploiter CVE-2024-41710 dans des attaques est le premier cas documenté d’exploitation de cette vulnérabilité.
« Akamai SIRT a détecté des tentatives d’exploitation ciblant cette vulnérabilité via notre réseau mondial de pots de miel début janvier 2025 en utilisant une charge utile presque identique au PoC », expliquent les chercheurs.
Le fait que les attaques nécessitent une authentification indique que le botnet malveillant utilise le forçage brutal pour obtenir l’accès initial.
Les attaquants élaborent une requête HTTP POST ciblant le point de terminaison vulnérable 8021xsupport.html, responsable des paramètres d’authentification 802.1 x dans les téléphones SIP Mitel.
L’application traite incorrectement les entrées utilisateur, ce qui permet d’insérer des données mal formées dans la configuration locale du téléphone (/nvdata/etc/local.gcf).
Via l’injection de caractères de fin de ligne (%dt → %0d), les attaquants parviennent à manipuler la façon dont le fichier de configuration est analysé lors du démarrage du périphérique pour exécuter un script shell distant (bin.sh) à partir de leur serveur.
Ce script télécharge et installe une charge utile Aquabot pour l’architecture définie (x86, ARM, MIPS, etc.), définit ses autorisations d’exécution à l’aide de ‘chmod 777’, puis nettoie toutes les traces.
Activité Aquabotv3
Une fois la persistance assurée, Aquabotv3 se connecte à son C2 via TCP pour recevoir des instructions, des commandes d’attaque, des mises à jour ou des charges utiles supplémentaires.
Ensuite, il tente de se propager à d’autres appareils IoT à l’aide de l’exploit Mitel, CVE-2018-17532 (TP-Link), CVE-2023-26801 (firmware IoT RCE), CVE-2022-31137( Application Web RCE), Linksys E-series RCE, Hadoop YARN et CVE-2018-10562 / CVE-2018-10561 (bogues du routeur Dasan).
Le logiciel malveillant tente également de forcer brutalement les informations d’identification SSH/Telnet par défaut ou faibles à se propager à des appareils mal sécurisés sur le même réseau.
L’objectif d’Aquabotv3 est d’enrôler des périphériques sur son essaim de déni de service de distribution (DDoS) et de les utiliser pour effectuer des attaques TCP SYN, TCP ACK, UDP, GRE IP et de la couche application.
L’opérateur du botnet annonce ses capacités DDoS sur Telegram sous les noms de Cursinq Firewall, Eye Services et Eye Botnet, le présentant comme un outil de test pour les mesures d’atténuation des attaques DDoS.
Akamai a répertorié les indicateurs de compromission (IoC) associés à Aquabotv3, ainsi que les règles Snort et YARA pour détecter les logiciels malveillants, au bas de son rapport.