24-03-2020, 22:08
De multiples vulnérabilités zero-day dans les enregistreurs vidéo numériques (DVR) pour les systèmes de surveillance fabriqués par LILIN, basée à Taïwan, ont été exploitées par les opérateurs de botnet pour infecter et coopter les appareils vulnérables dans une famille de robots de déni de service.
Les résultats proviennent de l'équipe Netlab de la société de sécurité chinoise Qihoo 360, qui affirme que différents groupes d'attaques utilisent des vulnérabilités zero-day LILIN DVR pour diffuser les botnets Chalubo, FBot et Moobot au moins depuis le 30 août 2019.
Les chercheurs de Netlab ont déclaré avoir contacté LILIN le 19 janvier 2020, mais ce n'est qu'un mois plus tard que le fournisseur a publié une mise à jour du firmware (2.0b60_20200207) corrigeant les vulnérabilités.
Le développement intervient alors que les appareils IoT sont de plus en plus utilisés comme surface d'attaque pour lancer des attaques DDoS et comme mandataires pour s'engager dans diverses formes de cybercriminalité.
De quoi parlent les Zero-Days de LILIN?
La faille en elle-même concerne une chaîne de vulnérabilités qui utilisent des informations d'identification de connexion codées en dur (root / icatch99 et report / 8Jg0SR8K50), accordant potentiellement à un attaquant la possibilité de modifier le fichier de configuration d'un DVR et d'injecter des commandes de porte dérobée lorsque le serveur FTP ou NTP les configurations sont synchronisées.
![[Image: malware-attack.jpg]](https://thehackernews.com/images/-R_utHonBaXs/XnXPrFRUtXI/AAAAAAAAAHc/ZQtgx5EfN7wXsQkSKTG3RYVuPvEjMgd3gCLcBGAsYHQ/s728-e100/malware-attack.jpg)
Dans un scénario distinct, les chercheurs ont constaté que le processus responsable de la synchronisation de l'heure NTP (NTPUpdate) ne vérifie pas les caractères spéciaux dans le serveur transmis en entrée, ce qui permet aux attaquants d'injecter et d'exécuter des commandes système.
La nouvelle version corrigée corrige les failles en validant le nom d'hôte afin d'empêcher l'exécution de la commande.
Netlab a déclaré que les opérateurs derrière le botnet Chalubo étaient les premiers à exploiter la vulnérabilité NTPUpdate pour détourner les DVR LILIN en août dernier. Par la suite, le botnet FBot a été trouvé en utilisant les failles FTP / NTP plus tôt en janvier. Deux semaines plus tard, Moobot a commencé à se propager à travers la vulnérabilité FTP LILIN 0-day.
Les chercheurs ont déclaré avoir contacté LILIN deux fois, d'abord après les attaques du FBot, puis une deuxième fois après que les infections à Moobot se soient produites.
Bien que Netlab n'entre pas dans les détails des motivations des infections, il ne serait pas surprenant qu'elles soient utilisées par des acteurs de la menace pour effectuer des attaques par déni de service distribué (DDoS) sur des sites Web et des services DNS.
"Les utilisateurs de LILIN devraient vérifier et mettre à jour les firmwares de leur appareil en temps opportun, et des informations d'identification solides pour l'appareil devraient être appliquées", ont déclaré les chercheurs de Netlab.
Les résultats proviennent de l'équipe Netlab de la société de sécurité chinoise Qihoo 360, qui affirme que différents groupes d'attaques utilisent des vulnérabilités zero-day LILIN DVR pour diffuser les botnets Chalubo, FBot et Moobot au moins depuis le 30 août 2019.
Les chercheurs de Netlab ont déclaré avoir contacté LILIN le 19 janvier 2020, mais ce n'est qu'un mois plus tard que le fournisseur a publié une mise à jour du firmware (2.0b60_20200207) corrigeant les vulnérabilités.
Le développement intervient alors que les appareils IoT sont de plus en plus utilisés comme surface d'attaque pour lancer des attaques DDoS et comme mandataires pour s'engager dans diverses formes de cybercriminalité.
De quoi parlent les Zero-Days de LILIN?
La faille en elle-même concerne une chaîne de vulnérabilités qui utilisent des informations d'identification de connexion codées en dur (root / icatch99 et report / 8Jg0SR8K50), accordant potentiellement à un attaquant la possibilité de modifier le fichier de configuration d'un DVR et d'injecter des commandes de porte dérobée lorsque le serveur FTP ou NTP les configurations sont synchronisées.
Dans un scénario distinct, les chercheurs ont constaté que le processus responsable de la synchronisation de l'heure NTP (NTPUpdate) ne vérifie pas les caractères spéciaux dans le serveur transmis en entrée, ce qui permet aux attaquants d'injecter et d'exécuter des commandes système.
La nouvelle version corrigée corrige les failles en validant le nom d'hôte afin d'empêcher l'exécution de la commande.
Netlab a déclaré que les opérateurs derrière le botnet Chalubo étaient les premiers à exploiter la vulnérabilité NTPUpdate pour détourner les DVR LILIN en août dernier. Par la suite, le botnet FBot a été trouvé en utilisant les failles FTP / NTP plus tôt en janvier. Deux semaines plus tard, Moobot a commencé à se propager à travers la vulnérabilité FTP LILIN 0-day.
Les chercheurs ont déclaré avoir contacté LILIN deux fois, d'abord après les attaques du FBot, puis une deuxième fois après que les infections à Moobot se soient produites.
Bien que Netlab n'entre pas dans les détails des motivations des infections, il ne serait pas surprenant qu'elles soient utilisées par des acteurs de la menace pour effectuer des attaques par déni de service distribué (DDoS) sur des sites Web et des services DNS.
"Les utilisateurs de LILIN devraient vérifier et mettre à jour les firmwares de leur appareil en temps opportun, et des informations d'identification solides pour l'appareil devraient être appliquées", ont déclaré les chercheurs de Netlab.
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
