Cyberattaque

Les dispositifs SonicWall sont infectés par des logiciels malveillants qui survivent aux mises à jour des microprogrammes

Par Philippe Ternision , le 10 mars 2023 , mis à jour le 10 mars 2023 - 5 minutes de lecture
Sonicwall
AccueilActusCyberattaqueLes dispositifs SonicWall sont infectés par des logiciels malveillants qui survivent aux mises à jour des microprogrammes
Notez l'article

Des appliances SonicWall Secure Mobile Access (SMA) non corrigées ont fait l’objet d’une campagne de piratage présumée de la part de la Chine, visant à installer des logiciels malveillants propriétaires qui créent une persistance à long terme pour les campagnes de cyberespionnage.

Le virus utilisé pour voler les mots de passe des utilisateurs, donner aux attaquants l’accès aux comptes shell, et même endurer les changements de firmware est spécifiquement conçu pour les appareils SonicWall.

La campagne a été découverte par l’équipe PSIRT de Mandiant et SonicWall, qui identifie l’acteur responsable comme UNC4540, qui est très probablement d’origine chinoise.

Un nouveau logiciel malveillant cible les dispositifs SonicWall

Un fichier ELF, la porte dérobée TinyShell et divers scripts bash démontrant une connaissance approfondie des périphériques réseau ciblés constituent les logiciels malveillants utilisés sur les périphériques SonicWall.

Selon Mandiant, le comportement des scripts bash malveillants dans leur ensemble “témoigne d’une compréhension approfondie de l’appareil et est bien adapté au système afin d’offrir stabilité et persistance”.

Malware components

Composants du logiciel malveillant (Mandiant)

Le module principal, appelé “firewalld”, émet des requêtes SQL contre la base de données de l’appliance afin de collecter les identifiants de connexion hachés de tous les utilisateurs.

L’attaquant copie les identifiants volés dans un fichier texte appelé “tmp/syslog.db”, qui est ensuite récupéré et craqué hors ligne à l’aide de ces identifiants.

En outre, TinyShell et d’autres composants malveillants sont lancés par firewalld afin de créer un shell inversé sur l’appareil et de faciliter l’accès à distance.

Enfin, le module principal du logiciel malveillant ajoute également une modification mineure au code SonicWall authentique, appelée “firebased”, bien que les analystes de Mandiant n’aient pas été en mesure d’établir à quoi elle servait.

Les analystes pensent qu’en procédant à cet ajustement, le virus est plus stable lorsque l’ordre d’arrêt du dispositif est émis.

Les appareils ciblés n’étaient pas corrigés, ce qui les rend probablement sensibles aux problèmes précédents, selon Mandiant, bien que l’on ne sache pas quelle vulnérabilité a été utilisée pour compromettre les machines.

Les précédentes vulnérabilités des appareils SMA signalées par SonicWall [1, 2, 3] permettaient un accès non authentifié aux appareils, qui pouvait alors être utilisé dans des campagnes comme celle-ci.

Persistance et résilience

Selon Mandiant, certains éléments indiquent que le virus a été installé sur les systèmes examinés en 2021 et qu’il a continué à fonctionner même après de nombreuses modifications du micrologiciel de l’appareil.

Les auteurs de la menace ont pu y parvenir en utilisant des scripts qui assurent la redondance et garantissent un accès continu aux machines compromises.

Par exemple, le script de démarrage (“rc.local”) n’appellera le script “iptabled”, qui est en fait le même module que firewalld, que si le processus principal du logiciel malveillant tombe en panne, se termine ou ne peut pas être démarré.

En outre, les attaquants ont mis en place une procédure selon laquelle un script bash appelé “geoBotnetd” vérifie “/cf/FIRMWARE/NEW/INITRD.GZ” toutes les 10 secondes pour détecter les nouvelles mises à jour du microprogramme. Afin de persister même après les mises à jour du microprogramme, les logiciels malveillants détectés s’injectent dans le paquet de mise à jour.

Pour qu’ils continuent à avoir accès à l’appareil compromis après la réception de la mise à jour du microprogramme, le script inclut en outre un utilisateur de porte dérobée nommé “acme” dans le fichier de mise à jour.

Les administrateurs système sont invités à mettre à jour les appliances SMA100 avec les correctifs de sécurité les plus récents proposés par SonicWall.

Actuellement, la version 10.2.1.7 ou une version plus récente est la version cible suggérée car elle dispose de la surveillance de l’intégrité des fichiers (FIM) et de l’identification des processus anormaux, ce qui devrait permettre d’identifier et d’arrêter cette menace.

Cette opération a beaucoup de points communs avec les récentes attaques qui ont visé les équipements SSL-VPN de Fortinet utilisés par les agences gouvernementales et d’autres cibles liées au gouvernement pour une vulnérabilité de type “zero-day”.

Les auteurs des attaques Fortinet ont fait preuve d’une connaissance approfondie du fonctionnement des cibles, en injectant des logiciels malveillants personnalisés à des fins de persistance et de vol de données. Cette méthode est similaire à celle utilisée pour la campagne SonicWall.

L’exemple rapporté ici fait partie d’une tendance récente que Mandiant s’attend à voir se poursuivre dans un avenir proche, prévient Mandiant dans son rapport. ces dernières années, les attaquants chinois ont déployé de multiples exploits et logiciels malveillants de type “zero-day” pour une variété d’appareils de réseau orientés vers l’internet, afin d’intrusion complète dans les entreprises”, prévient Mandiant dans son rapport.

Source du rapport

Vues 10

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.