Des chercheurs préviennent les utilisateurs d’appareils Linux : plusieurs attaques exploitent de multiples vulnérabilités récemment découvertes. Ces attaques en cours impliquent une nouvelle variante de logiciel malveillant, appelée « FreakOut ».
« L’objectif de ces attaques est de créer un botnet IRC, un ensemble de machines infectées par des logiciels malveillants qui peuvent être contrôlées à distance« , expliquent les chercheurs de l’éditeur Check Point. Ce botnet peut ensuite être utilisé pour lancer des attaques DDoS (attaque par déni de service) sur les réseaux d’autres organisations, ou pour des activités de crypto-minage sur les machines infectées, qui peuvent potentiellement arrêter des systèmes entiers infectés.
Les attaques visent les appareils Linux qui exécutent l’un des produits suivants, si leurs vunérabilités n’ont pas été corrigées :
- TerraMaster Operating System, un fournisseur bien connu de dispositifs de stockage de données, via la CVE-2020-28188 (publication du 28/12/20)
- Zend Framework, une collection populaire de progiciels de bibliothèque, utilisée pour la création d’applications web, via la CVE-2021-3007 (publication du 3/1/21)
- Liferay Portal, un portail d’entreprise gratuit et à code source ouvert, avec des fonctionnalités permettant de développer des portails et des sites web, via la CVE-2020-7961 (publication du 20/03/20)
TerraMaster confirme que les corrections seront mises en œuvre dans la version 4.2.07. Les utilisateurs de Liferay Portal doivent effectuer une mise à niveau vers Liferay Portal 7.2 CE GA2 (7.2.1) ou une version ultérieure. Liferay Portal devrait utiliser la version 2.14.x du correctif.
L’impact de FreakOut
Les chercheurs indiquent : « Sur la base de notre examen du code, l’attaquant peut utiliser les systèmes compromis par FreakOut pour d’autres activités malveillantes, telles que le crypto-minage, la propagation latérale à travers les réseaux d’entreprise, ou le lancement d’attaques DDoS sur les réseaux d’autres organisations, qui peuvent arrêter l’ensemble des systèmes infectés. Nos recherches ont révélé que le serveur principal de C&C de la campagne d’attaque avait été piraté avec environ 185 appareils. »
