EwDoor Botnet

Une nouvelle menace de botnet nommée EwDoor Botnet a infecté les périphériques de périphérie du réseau d'entreprise AT&T non protégés. La menace exploite une vulnérabilité critique vieille de quatre ans et identifiée comme CVE-2017-6079. L'exploit permet aux attaquants d'obtenir un accès root sans entrave aux appareils ciblésà distance.

Le modèle spécifique attaqué dans la récente campagne est EdgeMarc Enterprise Session Border Controller. De tels appareils sont couramment utilisés par les PME (petites et moyennes entreprises) pour sécuriser et gérer diverses tâches, telles que les appels téléphoniques, la vidéoconférence ou d'autres canaux de communication en temps réel. Parce qu'ils agissent comme un pont entre les organisations et leurs FAI, ces contrôleurs de session aux frontières sont des cibles de choix pour les acteurs malveillants qui souhaitent lancer des attaques DDoS (Distributed Denial-of-Service) et collecter des informations sensibles.

Des milliers d'appareils compromis

Les chercheurs du Network Security Research Lab de Qihoo 360 ont d'abord détecté la menace EwDoor Botnet. Ils ont également pu identifier l'un des serveurs de commandement et de contrôle (C2, C&C) des acteurs de la menace. En seulement trois heures, les chercheurs ont pu identifier environ 5 700 appareils infectés. Par la suite, les pirates sont passés à une communication C2 différente. En vérifiant les certificats SSI des appareils, 360 Netlab a découvert qu'environ 100 000 adresses IP utilisaient le même certificat SSI.

Capacités menaçantes

L'analyse de la fonctionnalité de la menace révèle qu'elle est principalement destinée à lancer des attaques DDoS et à établir une porte dérobée se connectant au réseau de la victime. Les versions actuelles d'EwDoor Botnet sont équipées de six fonctionnalités principales. Il peut se mettre à jour, rechercher des ports, manipuler le système de fichiers, effectuer des attaques DDoS, lancer des shells inversés et permettre aux attaquants d'exécuter des commandes arbitraires sur les serveurs violés.

AT&T a déclaré qu'elle était consciente du problème et qu'elle avait pris des mesures pour atténuer son impact. Jusqu'à présent, la société n'a trouvé aucune preuve que les données de ses clients aient été compromises.