Une variante du réseau de zombies Mirai appelée Murdoc cible activement les caméras AVTECH et les routeurs Huawei HG532 dans le cadre d'une campagne de masse depuis au moins juillet 2024. chercheurs en menaces de Qualys. Elle exploite deux vulnérabilités connues pour obtenir un RCE et déployer des logiciels malveillants sur les appareils compromis :
- CVE-2024-7029Le CVE-2024-7029 est une vulnérabilité d'injection de commande non corrigible affectant les caméras IP AVTECH en fin de vie. Cette CVE a également été ciblée par la variante Corona Mirai, dont nous avons parlé l'année dernière (https://censys.com/cve-2024-7029/)
- CVE-2017-17215vulnérabilité d'exécution de commande arbitraire dans les routeurs Huawei HG532
Observations actuelles :
En date du 22 janvier, les analyses de Censys révèlent 221 hôtes infectés par Murdoc concentrés en Indonésie, aux États-Unis et à Taïwan. D'autres sources font état de plus de 1 300 infections, mais ces chiffres sont probablement surestimés. Ils incluent des hôtes "tronqués" et des pseudo-services qui répondent sur plus de 100 ports ouverts - un comportement qui dépasse les normes raisonnables et qui n'est probablement pas représentatif des hôtes authentiques.
93 d'entre eux semblent être des serveurs de commande et de contrôle (C2) de Mirai qui ciblent d'autres appareils vulnérables afin de poursuivre la diffusion du logiciel malveillant.
Une caméra AVTECH compromise agissant comme un Mirai C2
Censys Requête de recherche des hôtes infectés par Murdoc: services.http.response.body : "murdoc_botnet"
Censys Requête de recherche pour les C2 de Murdoc (Mirai): services.http.response.body : "murdoc_botnet" et services.http.response.body : "$(echo -ne"
Les capteurs de GreyNoise ont détecté des tentatives d'exploitation des deux CVE ciblés par Murdoc, notamment 17 IP malveillantes distinctes distinctes ciblant la vulnérabilité de la caméra AVTECH et un nombre impressionnant de 37 796 IP malveillantes ciblant la vulnérabilité du routeur Huawei HG532.
L'activité malveillante ciblant CVE-2017-17215 au cours des 10 derniers jours a atteint un pic le 16 janvier, selon les données de GreyNoise.
Il y a encore plus de 36,182 caméras AVTECH exposées sur Internet. Bien que toutes ne soient pas nécessairement vulnérables à la norme CVE-2024-7029, ces appareils sont abandonnésIls ne reçoivent plus de mises à jour de sécurité et ne devraient pas être exposés à l'internet public.
Que peut-on faire ?
Il est essentiel que les organisations et les particuliers sécurisent immédiatement ces appareils, soit en les isolant des réseaux externes, soit en les remplaçant par du matériel compatible.
IoCs :
Références :
