Un nouveau logiciel malveillant baptisé PolarEdge exploite des failles de sécurité pour compromettre des routeurs et serveurs NAS d’entreprises comme Cisco, ASUS, QNAP et Synology. Détecté depuis fin 2023, ce botnet cible des équipements en fin de vie, rendant la menace difficile à endiguer. Cette campagne d’attaques illustre l’exploitation croissante des vulnérabilités non corrigées et souligne l’importance des stratégies de protection avancées contre ce type de menaces.
Une vulnérabilité critique exploitée pour propager PolarEdge
Une faille non corrigée sur les routeurs Cisco
Les chercheurs en cybersécurité de Sekoia ont identifié que les attaquants tirent parti de la vulnérabilité CVE-2023-20118 (score CVSS : 6.5) affectant plusieurs modèles de routeurs Cisco, notamment RV016, RV042, RV082, RV320 et RV325. Cette faille permet l’exécution de commandes arbitraires sur les appareils compromis.
Ces équipements ayant atteint leur fin de vie, aucun correctif ne sera développé par Cisco. Pour se protéger, l’entreprise avait recommandé en début d’année de désactiver la gestion à distance et de bloquer l’accès aux ports 443 et 60443.
Un cheval de Troie via un backdoor TLS
Les attaques observées montrent que la faille est exploitée pour déposer un implant malveillant, un backdoor utilisant TLS. Ce logiciel clandestin permet d’écouter les connexions entrantes et d’exécuter des commandes sur l’appareil infecté.
Un script shell nommé « q » récupéré via FTP est utilisé pour amorcer l’infection. Ce script :
- Efface les journaux système afin d’éviter toute détection.
- Arrête des processus suspects pour prévenir l’interception de la charge utile.
- Télécharge un fichier malveillant appelé « t.tar » depuis 119.8.186[.]227.
- Extrait et exécute un binaire malveillant nommé « cipher_log ».
- Assure une persistance en modifiant un fichier système pour répéter l’exécution du malware.
PolarEdge : un botnet sophistiqué toujours actif
Propagation et modes d’attaque
Baptisé PolarEdge, ce botnet entre alors dans une boucle infinie où il établit des sessions TLS et génère des processus fils pour gérer les requêtes des attaquants. Il transmet ensuite aux assaillants des données sur l’appareil infecté, dont son adresse IP et son port.
Des échantillons similaires ont confirmé que le malware cible aussi des équipements ASUS, QNAP et Synology. Toutes les traces du malware retrouvées sur la plateforme VirusTotal provenaient de fichiers envoyés par des utilisateurs de Taiwan. La menace semble se propager via des transferts FTP utilisant une adresse IP associée à Huawei Cloud.
2 017 appareils déjà compromis
Les chercheurs estiment que 2 017 appareils ont déjà été infectés dans plusieurs pays, dont les États-Unis, Taiwan, la Russie, l’Inde, le Brésil, l’Australie et l’Argentine. À ce jour, l’objectif exact du botnet reste inconnu, mais il pourrait être utilisé pour transformer ces équipements en plateformes d’attaque.
Les experts en cybersécurité alertent sur la complexité du malware, indiquant qu’il repose sur des techniques avancées et qu’il est opéré par des cybercriminels expérimentés. Cette campagne illustre par ailleurs l’intérêt croissant pour l’automatisation des cyberattaques exploitant des vulnérabilités non corrigées.
Liens avec d’autres botnets et risques accrus
Passoire de sécurité sur Microsoft 365
En parallèle, SecurityScorecard a mis en lumière une autre menace : un botnet massif comptant plus de 130 000 dispositifs infectés mène des attaques de type password spraying contre les comptes Microsoft 365 (M365). Ce type d’attaque exploite les authentifications non interactives et les identifiants compromis pour accéder aux données sensibles des entreprises.
Le groupe responsable de cette campagne semblerait être affilié à la Chine, utilisant des infrastructures liées à CDS Global Cloud et UCLOUD HK. Il profite du fait que les connexions non interactives ne déclenchent souvent pas l’authentification multi-facteurs (MFA).
Méthodes utilisées pour contourner la sécurité
Les cybercriminels se servent de logs d’infostealers pour collecter des identifiants volés et infiltrer les comptes des entreprises. Cette technique permet d’échapper aux protections modernes, posant un risque majeur pour la sécurité des grandes organisations.
Ces attaques figurent dans les journaux des connexions non interactives, souvent négligés par les équipes de sécurité. Cette faiblesse est exploitée pour mener des campagnes de password spraying à grande échelle sans être détecté.
Se former pour mieux comprendre et contrer ces attaques
Les attaques comme celles de PolarEdge et du botnet contre Microsoft 365 montrent la nécessité de comprendre les méthodes employées par les cybercriminels. Pour mieux se protéger, il est essentiel de s’informer sur les techniques de hacking utilisées par ces groupes malveillants.
Si vous souhaitez approfondir votre compréhension des vulnérabilités et des cyberattaques modernes, notre livre pour hacker vous permet d’apprendre à hacker et de découvrir les techniques d’exploitation des failles de sécurité.
Face à des attaques aussi sophistiquées, les services de cybersécurité avancée proposés par CyberCare aident les entreprises à identifier et à contrer ces menaces en renforçant leur protection contre les botnets et les cyberattaques ciblées.
