Skip to main content
BlogSécuritéDigest de sécurité Linode 28 novembre - 5 décembre 2021

Linode Security Digest 28 novembre - 5 décembre 2021

Digest de sécurité Linode

Cette semaine, nous parlerons d'une vulnérabilité dans un plugin WordPress, d'un nouveau logiciel malveillant pour Linux et d'un outil open source appelé Osquery. C'est parti pour un tour d'horizon !

Vulnérabilité d'injection SQL dans Hide My WP (CVE-2021-36916)

Selon la page web du plugin, Hide My WP est un plugin WordPress qui cache votre site web aux attaquants, aux spammeurs et aux détecteurs de thèmes. À ce jour, il compte plus de 26 000 utilisateurs actifs. Selon le rapport de patchstack, les versions de ce plugin antérieures à la 6.2.3 sont vulnérables à une attaque par injection SQL non authentifiée. Patchstack conseille de mettre à jour ce plugin vers la version 6.2.4 pour atténuer cette vulnérabilité.

Malware Linux CronRAT

Découvert par Sansec, CronRAT est un logiciel malveillant Linux qui cible les serveurs de commerce électronique. Comme de nombreux RAT (Remote Access Trojan), il permet à un attaquant d'accéder à distance au système affecté à l'aide d'un serveur C2 (Command and Control) et permet à l'opérateur du RAT d'exécuter n'importe quel code. 

Selon l'article, son principal exploit consiste à se cacher dans le sous-système de calendrier de Linux (également connu sous le nom de "cron") un jour inexistant. Il utilise également un protocole binaire personnalisé pour communiquer avec le serveur de l'opérateur afin d'éviter d'être détecté par les mécanismes de détection courants tels que les pare-feu et les systèmes de détection d'intrusion. Vous pouvez consulter l'article rédigé par Sansec pour obtenir des informations sur les IoC de ce logiciel malveillant.

Osquery et FleetDM

Osquery, développé à l'origine par Facebook, est un projet open source qui expose un système d'exploitation en tant que base de données relationnelle haute performance. Cela permet à ses utilisateurs d'interroger un large éventail d'informations sur l'appareil sur lequel il est installé à l'aide de requêtes SQLite. Ces informations peuvent être des processus en cours d'exécution, des modules de noyau chargés, des connexions réseau ouvertes, des plugins de navigateur, des événements matériels, des hachages de fichiers, etc. Nous utilisons activement Osquery avec d'autres outils open source pour surveiller notre infrastructure. 

Un autre outil gratuit et open source, FleetDM, vous permet de déployer des agents Osquery sur plusieurs appareils et de les gérer facilement. Vous pouvez programmer des requêtes, écrire des packs de requêtes et effectuer la chasse aux menaces à l'aide de l'interface web fournie par FleetDM. Consultez ce référentiel qui fournit des packs de requêtes pré-écrits, afin que vous puissiez être opérationnel si vous déployez votre propre flotte.

Osquery en action

Pour démontrer l'utilité d'Osquery, nous allons examiner l'un des IoCs de CronRAT. Selon l'article, l'un des indicateurs est que ce RAT se cache en tant que cronjob un jour inexistant, à savoir le 31 février. Nous pouvons utiliser la requête suivante pour rechercher les cronjobs qui sont écrits pour s'exécuter à cette date spécifique :

SELECT * FROM crontab WHERE month = 2 AND day_of_month = 31 ;

Cette requête recueillera des informations sur le périphérique cible en utilisant la table crontab gérée par Osquery. Vous pouvez consulter le schéma pour obtenir une vue détaillée des tables qui peuvent être interrogées sur différents systèmes d'exploitation.

Contribuer aux outils open source tout en partageant les connaissances de la communauté nous aide tous à sécuriser nos systèmes. Nous vous en dirons plus sur les outils que nous utilisons pour sécuriser notre infrastructure dans les prochains bulletins de sécurité. En attendant, nous aimerions connaître vos outils de sécurité open source préférés. N'hésitez pas à commenter ci-dessous et restez à l'écoute pour d'autres mises à jour.

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.