15/11/2024
IT-Connect » Actualités » Actu Cybersécurité » Un faux exploit PoC circule sur Internet et cherche à déployer un malware sur les machines Linux

Faux exploit PoC CVE-2023-35829
Actu Cybersécurité

Un faux exploit PoC circule sur Internet et cherche à déployer un malware sur les machines Linux

Florian BURNEL 0 commentaire

Un faux exploit PoC pour la faille de sécurité CVE-2023-35829 qui affecte Linux circule sur Internet ! L'objectif : tromper des chercheurs en sécurité et d'autres cybercriminels pour compromettre des machines et voler des mots de passe.

Les analystes de chez Uptycs ont fait la découverte de trois dépôts GitHub hébergeant un exploit PoC malveillant pour la faille de sécurité CVE-2023-35829, utilisée comme leurre. Cette vulnérabilité importante est présente dans le noyau Linux avant la version 6.3.2 et elle est de type use-after-free.

Même si deux de ces trois dépôts ont été supprimés, il y en a qui est toujours en ligne. Ils affirment aussi que cet exploit a été beaucoup partagé entre les chercheurs en sécurité, ce qui pourrait mener à la compromission de nombreuses machines. D'où l'importance de relayer cette alerte et le travail effectué par Uptycs.

Pour créer cet exploit PoC, les cybercriminels ont repris celui de la faille de sécurité CVE-2022-34918 qui lui est légitime. Cet exploit tire profit du système de namespaces de Linux, donnant l'impression d'avoir accès à un shell en tant que root. Ainsi, on peut penser que l'exploit fonctionne normalement : pendant ce temps, le cybercriminel à l'origine de cet exploit malveillant peut accéder à la machine compromise.

CVE-2023-35829 faux poc
Source : BleepingComputer

Que fait le PoC malveillant sur la machine infectée ?

De façon à ce que l'accès soit persistant, le PoC crée un fichier nommé "kworker" sur la machine, il l'ajoute au fichier "/etc/bashrc" et modifie le fichier "~/.ssh/authorized_keys" pour que l'attaquant puisse se connecter en SSH à partir d'une authentification par clé. Par la suite, il télécharge un script à partir du serveur C2 piloté par l'attaquant dans le but de récupérer le contenu du fichier "/etc/passwd" et il peut aussi exfiltrer des données vers le serveur C2 (notamment le contenu du /home de l'utilisateur).

Si vous avez déjà fait usage de cet exploit PoC, les analystes de chez Uptycs suggèrent d'effectuer les actions suivantes :

  • Retirer les clés SSH non autorisées
  • Supprimer le fichier kworker de la machine
  • Supprimer l'appel vers kworker dans le bashrc
  • Vérifier si le fichier /tmp/.iCE-unix.pid contient des menaces potentielles

L'occasion de rappeler aussi qu'un exploit PoC téléchargé sur Internet doit être testé sur une machine isolée ou en mode sandbox. Par ailleurs, il convient d'inspecter le code avant l'exécution.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Smart Home : Anker corrige plusieurs failles dans son boitier Eufy Homebase

Florian BURNEL 0

Activer l’IP forwarding sous Linux (IPv4/IPv6)

Mickael Dorigny 1

Vulnérabilités : Apple et Linux, les mauvais élèves en 2014

Florian BURNEL 1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.