Les chercheurs de Barracuda ont analysé les attaques et les charges détectées par les systèmes de Barracuda entre avril et mai et ont trouvé un flux constant de tentatives d’exploitation de deux vulnérabilités VMware récemment découvertes : CVE-2022-22954 et CVE-2022-22960.
Nous vous proposons une analyse approfondie d'une de ces vulnérabilités (CVE-2022-22954), des tendances repérées en matière d'attaques et des solutions à votre disposition pour mieux vous protéger contre ce type d'attaques.
Menaces particulièrement importantes
Nouvelles vulnérabilités VMware : le 6 avril, VMware a publié un rapport de sécurité répertoriant plusieurs vulnérabilités quant à la sécurité. L'une des vulnérabilités les plus préoccupantes de ce rapport est un problème d'injection de modèle côté serveur, la CVE-2022-22954. Cette vulnérabilité a pour effet de permettre à un utilisateur non authentifié ayant accès à l'interface Web d'exécuter toute commande shell quelconque en tant qu'utilisateur VMware. La liste des vulnérabilités contenait également la faille CVE-2022-22960, une vulnérabilité liée à une élévation de privilèges locaux sur des produits concernés, qui pourrait éventuellement être exploitée par des pirates.
VMware a confirmé que l'exploitation de ces vulnérabilités était déjà en cours actuellement. La CVE-2022-22954 a un score CVSS de 9,8, et la CVE-2022-22960 a un score CVSS de 7,8.
Les chercheurs de Barracuda ont commencé à observer des analyses et des tentatives d'exploitation de cette vulnérabilité peu après la publication du rapport et la diffusion initiale de la démonstration de faisabilité sur GitHub. Les attaques restent cohérentes sur le long terme, à quelques exceptions près, et la grande majorité d'entre elles sont des analyses plutôt que de véritables tentatives d'exploitation.
La grande majorité des attaques provenaient des États-Unis sur le plan géographique, la plupart d'entre elles provenant de centres de données et de fournisseurs cloud. Si les recrudescences proviennent en grande partie de ces plages d'adresses IP, on observe également des tentatives répétées en provenance d'adresses IP connues comme dangereuses en Russie. Certaines de ces adresses IP effectuent des analyses visant à détecter des vulnérabilités spécifiques à intervalles réguliers, et il semble que les vulnérabilités de VMware aient été intégrées à leur liste d'analyses régulières Laravel/Drupal/PHP.
Les détails
La charge la plus courante était cette tentative d'injection : « cat/etc/password »
Qui se traduit par :
La démonstration de faisabilité de la vulnérabilité publiée sur GitHub par sherlocksecurity a été la deuxième plus populaire pour les analyses. Cette séquence a été découverte dans diverses analyses qui tentaient de vérifier l'exploitabilité :
Les chaînes de charge utilisées par ce script sont les suivantes :
(C'est la valeur par défaut à partir du script de démonstration de faisabilité).
Il y a également eu quelques tentatives d'utilisation de versions codées en base64 des analyses :
Qui se traduisait par :
Parmi les autres analyses, il y avait aussi beaucoup d'analyses qui se pratiquaient avec des callbacks. En voici un exemple :
En ce qui concerne les tentatives d'exploitation réelles, les attaques provenaient principalement des opérateurs botnet.
L'une des charges observées était :
Qui se traduit par :
La charge présente dans cet exemple est actuellement hors ligne ; cependant, cette adresse IP semble toujours héberger des variantes du malware du botnet Mirai DDoS.
Certaines tentatives d'exploitation Log4Shell ont également été observées dans les données :
Nous avons également constaté que les tentatives d'EnemyBot sont peu nombreuses dans les données :
Bien que cet exemple spécifique ait été mis hors ligne assez rapidement, l'adresse IP utilisée dans cette attaque semble assez prolifique, comme le démontre cet article de GreyNoise :
Se protéger contre ces types d'attaques
Comme indiqué précédemment, les niveaux d'intérêt concernant ces vulnérabilités sont stables. Cependant, nous observerons probablement des scans et des tentatives d'exploitation de faible ampleur pendant un certain temps. Même si les scans et les attaques restent constants, il est important de prendre des mesures afin de protéger vos systèmes.
- Application de correctifs : il convient d'appliquer un correctif dès maintenant, surtout si le système est connecté à Internet d'une manière ou d'une autre.
- Web Application Firewall : placer un Web Application Firewall contre de tels systèmes renforcera votre système de défense approfondie contre les attaques de type « zero-day » et autres vulnérabilités, notamment Log4Shell.
e-book : Le nouvel ABC de la sécurité des applications
Tushar Richabadas est Senior Product Marketing Manager, Applications and Cloud Security chez Barracuda. Auparavant, il était responsable des produits Web Application Firewall et Load Balancer ADC de Barracuda, et son travail portait plus particulièrement sur le cloud et l'automatisation. Tushar possède une expérience très variée, allant de la gestion des équipes chargées de tester les produits de mise en réseau, à la gestion du marketing technique chez HCL-Cisco. Il suit de près l'évolution rapide de la sécurité numérique et a à cœur de simplifier les choses pour tous dans ce domaine.