Numéro : AL19-012
Date : 14 juin 2019
Auditoire
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objectif
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. À la demande des destinataires, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) offre également une assistance additionnelle concernant la teneur de la présente alerte.
Évaluation
Le Centre pour la cybersécurité a été informé d’occurrences d’exploitation active de la vulnérabilité d’EXIM sur laquelle portait le bulletin AV19-109 publié le 7 juin 2019. Il semble que cette vulnérabilité ait la possibilité d’être exploitée automatiquement, comme dans le cas d’un ver informatique, et de se propager aux autres instances vulnérables d’EXIM.
L’exploitation s’effectue en deux phases. Au cours de la première phase, l’auteur de menace distant envoie des courriels malveillants à un serveur EXIM vulnérable, ce qui lui permet d’exécuter du code malveillant en faisant appel au niveau d’accès du processus EXIM (généralement, le niveau racine) et de télécharger des maliciels supplémentaires depuis un serveur de commandement et de contrôle dont il est propriétaire.
Au cours de la deuxième phase, l’auteur crée une tâche cron dans le but de maintenir les effets de son intrusion et de télécharger d’autres composantes de la chaîne d’exploitation. L’une de ces composantes est un script Python qui recherche activement d’autres instances vulnérables du serveur EXIM sur Internet afin de s’y connecter et d’exploiter la vulnérabilité de ces nouvelles cibles (d’où la similitude au ver informatique).
L’auteur de menace ajoute également une clé d’authentification RSA sur le serveur SSH, ce qui lui permet de s’y connecter en tant qu’utilisateur racine. Pour tenter d’éviter toute détection, il utilise des nœuds TOR pour transmettre le code malveillant et se connecter par l’entremise du protocole SSH.
Commentaires d'analyse
Selon les constatations du Centre pour la cybersécurité, les exploitations EXIM sont en constante évolution, et le type de maliciels et de scripts qui sont téléchargés diffère d’une exploitation à l’autre. Cela pourrait indiquer deux choses : soit l’auteur de menace apporte toujours des mises au point à la chaîne d’exploitation et son objectif ultime est inconnu, soit plusieurs auteurs de menace mènent des tentatives d’exploitation similaires dans des buts différents.
Mesures suggérées
- Mettez à jour la version vulnérable d’EXIM à la plus récente version prise en charge.
- Examinez les journaux pour la présence d’activités inhabituelles ou non autorisées.
- Vérifiez les tâches cron pour des entrées non autorisées et supprimez-les le cas échéant.
- Vérifiez les clés d’authentification RSA installées localement sur le serveur SSH pour la présence de clés non autorisées.
- Surveillez les connexions SSH inhabituelles vers le serveur EXIM, en particulier celles provenant d’adresses IP inconnues.
Références
EXIM Bulletin de sécurité du CCC sur la vulnérabilité EXIM : https://www.cyber.gc.ca/fr/avis/bulletin-de-securite-exim
Indicateurs de compromission
Valeurs de hachage
Nom de fichier: certificate.crt
MD5 Hash: certificate.crt|ff534af3104bc9a2030c9599bcd9a4b5
SHA1 Hash: certificate.crt|d135675da359304f60e3711f1993f36f267e1800
SHA256 Hash: certificate.crt|3a9459472329585e384a7e32af277844468d5b1fccda6d80285549f92ee67f07
Nom de fichier: se
MD5 Hash: se|a6823231d6bc5e7afda3c6e10f855956
SHA1 Hash: se|5797fe2ea08e627478777f2ede28bda2780707cf
SHA256 Hash: se|d8a787dc774748bf26e3dce1b079e9bef071c0327b6adcd8cc71ed956365201c
Nom de fichier: se
MD5 Hash: se|03fb0990ef6a33cc863d0c1a4568689c
SHA1 Hash: se|f8c6ae6fa828ccdc97d79c541c5e1b3d65d6653b
SHA256 Hash: se|b4bae03ab71439208b79edfc5eaec42babacee982231dce001b70ec42835063a
Nom de fichier: atd
MD5 Hash: atd|a6823231d6bc5e7afda3c6e10f855956
SHA1 Hash: atd|5797fe2ea08e627478777f2ede28bda2780707cf
SHA256 Hash: atd|d8a787dc774748bf26e3dce1b079e9bef071c0327b6adcd8cc71ed956365201c
Nom de fichier: s
MD5 Hash: s|8c7efb0493b6fb805b2c2f0593de0ab1
SHA1 Hash: s|d754163b369e4c27330cef03d6736779a699e5d9
SHA256 Hash: s|1c8f184c3cf902bafc9df23b13a5d51cf801026bc3bde9d6b05cf047523ac6ed
Indicateur(s) d’IP
85[.]25[.]84[.]99
173[.]212[.]214[.]137
Indicateur(s) d’URL
hxxps://85[.]25[.]84[.]99/up[.]php
hxxp://173[.]212[.]214[.]137/se
hxxp://173[.]212[.]214[.]137/icantgetit
Indicateur(s) d’URI
/se
/icantgetit
Indicateur(s) de domaine
orion1709[.]startdedicated[.]de
Note aux lecteurs
Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères du gouvernement du Canada, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incidents. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.