Le botnet Mirai est apparu en 2016 et a réussi en peu de temps à
infecter plus de 600 000 appareils IoT. La semaine dernière,
on a appris la nouvelle version de Mirai, dont le but est les serveurs Linux avec Hadoop. Nous découvrons quelle vulnérabilité le virus utilise et comment le «couvrir».
/ Flickr / DJ Shin / CC BY-SAQuelques mots sur Mirai
Mirai s'est fait connaître pour une série d'attaques de grande envergure. L'un était sur le blog du journaliste Brian Krebs après avoir publié un article sur les ventes de botnet. L'autre concerne le
grand fournisseur DNS Dyn , qui a provoqué un dysfonctionnement des services mondiaux: Twitter, Reddit, PayPal, GitHub et bien d'autres.
Pour «capturer» les appareils IoT, le botnet a utilisé une vulnérabilité de mot de passe faible (les fabricants les ont faites de même pour tous les appareils intelligents). Le logiciel malveillant a surveillé Internet pour détecter les ports Telnet ouverts et a introduit par force les paires connues de mot de passe de connexion pour accéder au compte du propriétaire de l'appareil. En cas de succès, le gadget est devenu une partie du «réseau malveillant».
Fin 2016, les développeurs ont publié le
code source du virus sur le réseau. Cela a conduit à l'émergence de plusieurs autres versions de logiciels malveillants, mais ils ont tous fait de leur objectif l'appareil de l'Internet des objets. Jusqu'à récemment, le ver Mirai est apparu, qui attaque les serveurs Linux dans les centres de données.
Botnet «recrute» Linux
Le rapport sur la nouvelle version de Mirai a été publié par des spécialistes de la sécurité de l'information chez NETSCOUT. Il est connu qu'un botnet attaque les serveurs avec le framework Apache Hadoop installé. Comme le disent les experts en sécurité, les pirates sont attirés par la puissance du fer. Hadoop est utilisé sur des serveurs de calcul haute performance et des algorithmes d'apprentissage automatique. Un réseau d'appareils productifs permettra des attaques DDoS plus destructrices.
La version Mirai pour Linux pirate toujours les systèmes par les informations d'identification d'usine telnet. Mais maintenant, le programme n'a plus besoin de faire la distinction entre différents types d'architectures de gadgets IoT, Mirai n'attaque que les serveurs dotés de processeurs x86.
Dans le même temps, le nouveau botnet n'installe pas de malware sur l'appareil piraté seul. Le ver envoie aux attaquants l'adresse IP de la machine vulnérable et une paire de nom d'utilisateur et de mot de passe pour celle-ci. Ensuite, les pirates installent les bots DDoS manuellement.
Quelles vulnérabilités sont utilisées
Le malware exploite la vulnérabilité du module YARN, qui est responsable de la gestion des ressources du cluster et de la planification des tâches dans Apache Hadoop, pour infiltrer le serveur.
Si la configuration YARN est incorrecte, l'attaquant
peut accéder à l'API REST interne du système via les ports 8088 et 8090. En se connectant à distance, un attaquant peut ajouter une nouvelle application au cluster. Soit dit en passant, ce
problème est connu depuis plusieurs années - des exploits PoC ont été publiés sur
ExploitDB et
GitHub .
Par exemple, le
code d' exploitation
suivant est présenté sur GitHub:
En plus de Mirai, cette vulnérabilité est utilisée par un autre bot DDoS - DemonBot, que les spécialistes de Radware ont découvert en octobre. Depuis le début de l'automne, ils ont enregistré plus d'un million de tentatives de piratage via la vulnérabilité YARN quotidiennement.
Ce que disent les experts
Selon des experts en sécurité de l'information, la plupart des tentatives ont été piratées aux États-Unis, en Grande-Bretagne, en Italie et en Allemagne. Au début du mois, un peu plus d'un millier de serveurs dans le monde étaient affectés par des vulnérabilités dans YARN. Ce n'est pas beaucoup, mais ils ont tous une puissance de calcul élevée.
Il existe également des informations selon lesquelles une vulnérabilité dans Hadoop pourrait fournir aux attaquants un accès aux données stockées sur des serveurs non sécurisés. Jusqu'à présent, aucun cas de ce type n'a été signalé, mais les experts
préviennent que ce n'est qu'une question de temps.
La nouvelle version de Mirai ne se propage pas rapidement - chaque jour, il n'y a que plusieurs dizaines de milliers de tentatives pour casser des machines Hadoop via YARN. De plus, toutes les attaques proviennent d'un petit nombre d'adresses IP - pas plus de quarante.
/ Flickr / Jelene Morris / CC BYUn tel comportement des attaquants a incité les spécialistes de NETSCOUT à penser que le virus ne se propage pas automatiquement - les pirates informatiques analysent manuellement Internet et déploient le programme sur des machines non protégées. Cela signifie que les propriétaires de serveurs sur lesquels Hadoop est installé ont plus de temps pour fermer la vulnérabilité.
Pour vous protéger contre les attaques,
vous devez modifier les paramètres de sécurité
du réseau. Il suffit que les administrateurs restreignent l'accès au cluster informatique - pour configurer des filtres IP ou fermer complètement le réseau des utilisateurs et applications externes.
Pour empêcher tout accès non autorisé au système, les experts en sécurité conseillent également de mettre à niveau Hadoop vers la version 2.x et d'activer l'authentification via le protocole Kerberos.
Plusieurs articles du blog VAS Experts:
Quelques matériaux frais de notre blog sur Habré: