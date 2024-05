Selon Fortinet, le botnet Goldoon exploite la faille CVE-2015-2051 pour propager un script « dropper » à partir d'un serveur malveillant. Ce script est soigneusement conçu pour s'auto-supprimer et peut fonctionner sur diverses architectures système Linux. Une fois injecté dans un appareil, ce « dropper » télécharge et lance un fichier, ouvrant ainsi la porte à une série d'activités malveillantes. Son rôle principal est de récupérer le fichier du botnet en utilisant une clé XOR pour déchiffrer des chaînes spécifiques et construire l'URI complet pour la charge utile. Une fois téléchargée, la charge utile finale est extraite à l'aide d'un en-tête codé en dur, tandis que des mécanismes de nettoyage sont engagés pour masquer les traces dans le système compromis.

« Bien que CVE-2015-2051 ne soit pas une nouvelle vulnérabilité et présente une faible complexité d'attaque, elle a un impact critique sur la sécurité qui peut conduire à l'exécution de code à distance. Une fois que les attaquants ont réussi à exploiter cette vulnérabilité, ils peuvent intégrer les appareils compromis dans leur botnet pour lancer d'autres attaques », préviennent les chercheurs du laboratoire Fortinet qui a découvert la relance de Goldoon.



Une fois infiltré, le malware Goldoon peut lancer diverses attaques DDoS, notamment l'inondation TCP, l'inondation ICMP, ainsi que des attaques plus ciblées comme Minecraft DDoS. Ces attaques peuvent avoir un impact significatif, perturbant à la fois des cibles individuelles et des réseaux plus étendus.