Le malware Zerobot exploite 21 failles pour se propager : NAS, routeurs, firewall, etc.

Un nouveau logiciel malveillant baptisé Zerobot exploite une vingtaine de vulnérabilités situées dans des firewalls, routeurs, caméras, NAS, etc... Pour se propager. Il a été repéré à la mi-novembre, donc il s'agit d'une menace relativement récente.

Codé avec le langage Go, le malware Zerobot a été découvert par les chercheurs en sécurité de chez Fortinet à la mi-novembre. Il a un objectif bien précis : compromettre des machines dans le but qu'elles intègrent un botnet ayant pour but de réaliser des attaques DDoS contre des cibles spécifiques. Forcément, plus il y a de machines qui constituent ce botnet, plus il est en mesure (en théorie) de lancer des attaques puissantes. Néanmoins, il peut aussi servir d'accès initial pour réaliser d'autres attaques telles que le déploiement d'un ransomware.

Une fois qu'une machine est compromise, le malware scanne le réseau de cette machine afin de tenter de se propager sur d'autres machines Linux ou Windows à l'aide d'un script appelé "zero" qui est déployé sur les machines infectées.

Au-delà de s'en prendre aux machines Windows et Linux, il s'avère que le malware Zerobot est compatible avec de nombreuses architectures : i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64, et S390x. De ce fait, pour compromettre des réseaux et des appareils, il est capable d'exploiter 21 vulnérabilités différentes.

Quelles sont les vulnérabilités exploitées par Zerobot ?

Le malware Zerobot exploite les vulnérabilités suivantes :

  • CVE-2014-08361 - Realtek SDK
  • CVE-2017-17106 - Caméras Zivif PR115-204-P-RS
  • CVE-2017-17215 - Routeur Huawei HG523
  • CVE-2018-12613 - Application phpMyAdmin
  • CVE-2020-10987 - Routeur Tenda AC15 AC1900
  • CVE-2020-25506 - NAS D-Link DNS-320
  • CVE-2021-35395 - Realtek Jungle SDK
  • CVE-2021-36260 - Produits Hikvision
  • CVE-2021-46422 - Routeur Telesquare SDT-CW3B1
  • CVE-2022-01388 - Firewall F5 BIG-IP
  • CVE-2022-22965 - Spring MVC et Spring WebFlux (Spring4Shell)
  • CVE-2022-25075 - Routeur TOTOLink A3000RU
  • CVE-2022-26186 - Routeur TOTOLink N600R
  • CVE-2022-26210 - Routeur TOTOLink A830R
  • CVE-2022-30525 - Firewall Zyxel USG Flex 100(W)
  • CVE-2022-34538 - Caméras MEGApix
  • CVE-2022-37061 - Caméras FLIX AX8

Les chercheurs de chez Fortinet précisent que ce malware exploite également 4 autres vulnérabilités qui ne sont pas associées à une référence CVE, notamment dans les routeurs D-Link. Des investigations sont en cours à ce sujet.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4370 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.