Des consommateurs ont vu leurs informations d’accès Admin volés et leurs
serveurs infectés par Linux/ChachaDDoS
Au cours des derniers mois, de
nombreux utilisateurs de VestaCP, une solution de panneau de contrôle
d’hébergement, ont été avertis par leur fournisseur de services que leurs
serveurs utilisaient une quantité anormale de bande passante. Nous savons
aujourd’hui que ces serveurs ont en fait été utilisés pour lancer une attaque
DDoS. L’analyse d’un serveur compromis a montré que le logiciel malveillant que
nous appelons Linux/ChachaDDoS était installé sur ce système. Au même moment
cette semaine, nous avons appris que le site Web du VestaCP a été compromis, ce
qui a entraîné une attaque de la chaîne d’approvisionnement sur les nouvelles
installations du VestaCP depuis au moins mai 2018. Linux/ChachaDDoS a quelques
similitudes avec Xor.DDoS, mais à la différence de cette famille plus ancienne,
il a plusieurs étapes et utilise Lua pour ses composants de deuxième et
troisième niveau.
Vecteur
d’infection
Selon l’utilisateur « Razza » du forum VestaCP, l’attaquant a tenté de lancer Linux/ChachaDDoS via SSH. La
façon dont la charge utile a été déposée dans le répertoire /var/tmp reste à
déterminer, mais en supposant que l’attaquant possède déjà le mot de passe
administrateur, cette tâche se serait avérée triviale. Pendant l’installation,
VestaCP crée un utilisateur nommé « admin », disposant des privilèges
sudo. La question demeure néanmoins : comment l’attaquant aurait-il pu
connaître le mot de passe de cet utilisateur admin?
Nous avons envisagé plusieurs hypothèses quant à la façon dont les
informations d’accès ont été obtenues en premier lieu. Nous avons d’abord
soupçonné une vulnérabilité dans l’interface web de VestaCP. En examinant le
code, nous avons constaté que le mot de passe non chiffré est conservé dans /root/.my.cnf, mais que
l’accès au contenu de ce fichier nécessiterait toujours que l’attaquant
exploite une vulnérabilité d’inclusion
de fichier local et d’escalade des privilèges. L’utilisateur
« Falzo » a fouillé davantage dans le code et a découvert quelque chose de plus intéressant encore : certaines
versions du script d’installation laissent échapper le mot de passe administrateur
et le nom du serveur vers vestacp.com, le site officiel du VestaCP.
Article complet : https://www.welivesecurity.com/fr/2018/10/18/vespacp-compromis-chaine-de-commande/