L’équipe SIRT d’Akamai a découvert la troisième version du botnet Aquabot basé sur le code Mirai qui exploite activement la vulnérabilité CVE-2024-41710 des téléphones SIP Mitel. Le bogue permet un accès racine à l’appareil via des fichiers de configuration vulnérables.
Aquabot a été signalé pour la première fois en novembre 2023 et a évolué depuis. La première version reproduisait les fonctionnalités de base de Mirai, la deuxième version a gagné des mécanismes pour cacher et empêcher les redémarrages, et la troisième version inclut une nouvelle fonctionnalité pour ce type de botnet – l’envoi de signaux au serveur C2 lors de tentatives de mettre fin au logiciel malveillant. Les chercheurs notent qu’ils n’ont pas encore détecté la réponse du serveur C2 à ces signaux.
La vulnérabilité CVE-2024-41710 identifiée dans les téléphones SIP des séries 6800, 6900 et 6900w de Mitel est liée à un filtrage d’entrée insuffisant. Elle a été divulguée publiquement en juillet 2024, et un PoC a été publié en août, démontrant la possibilité d’exécuter un code arbitraire. Dans cette attaque, les attaquants envoient une requête HTTP POST spécialement conçue pour modifier le fichier de configuration local du téléphone et exécuter du code au démarrage de l’appareil.
La première exploitation enregistrée de la vulnérabilité a eu lieu en janvier 2025, lorsque le SIRT d’Akamai a détecté des tentatives d’attaques par l’intermédiaire de son réseau de pots de miel. Le botnet utilise le téléchargement et l’exécution du script bin.sh pour télécharger et exécuter des fichiers Mirai sous différentes architectures (x86, ARM, MIPS et autres). Cela confirme qu’Aquabot appartient à la famille Mirai.
Une nouvelle fonction defend_binary() a été trouvée dans le code d’Aquabotv3, qui intercepte les signaux de fin de processus SIGTERM, SIGINT et SIGKILL et les signale au serveur C2 via une connexion TCP. Ce mécanisme peut être utilisé par les opérateurs pour surveiller l’activité des programmes antivirus ou des réseaux de zombies concurrents, ainsi que pour améliorer les logiciels malveillants à l’avenir.
Outre les téléphones Mitel, le botnet attaque les appareils vulnérables en utilisant des vulnérabilités connues, notamment Hadoop YARN, Linksys E-series RCE et CVE-2023-26801. Dans tous les cas, le logiciel malveillant utilise le téléchargement d’un script pour propager Aquabot vers de nouveaux appareils.
