L’article de VulnCheck met en lumière une nouvelle méthode d’exploitation de la vulnérabilité CVE-2021-36260, une faille d’injection de commande dans les systèmes Hikvision. Cette vulnérabilité est largement exploitée par des groupes de menaces avancées tels que Flax Typhoon et Fancy Bear.
Traditionnellement, cette faille est exploitée pour déposer et exécuter des binaires malveillants, mais les systèmes Hikvision ne disposent pas des outils classiques comme curl ou wget pour télécharger des fichiers distants. VulnCheck a observé une attaque utilisant une approche innovante : le montage d’un partage NFS distant pour exécuter un fichier, contournant ainsi les limitations habituelles.
L’attaque utilise la commande mount pour rendre un partage NFS distant accessible localement et exécuter un script malveillant. Cette méthode évite les signatures réseau communes et est plus rapide que les méthodes précédentes utilisant printf.
Les indicateurs de compromission (IOCs) incluent plusieurs adresses IP utilisées pour l’hébergement de malware et des haches SHA-1 de fichiers malveillants. Les adresses IP identifiées sont : 31.59.40[.]187, 45.125.66[.]79, 87.121.84[.]34, 141.11.62[.]222, et 220.158.232[.]99.
Cet article est une analyse technique détaillée, visant à informer sur une nouvelle méthode d’exploitation et à mettre à jour les outils de VulnCheck pour inclure cette technique innovante.
🧠 TTPs et IOCs détectés
TTP
Exploitation de la vulnérabilité CVE-2021-36260 via une injection de commande, utilisation de la commande ‘mount’ pour monter un partage NFS distant et exécuter un script malveillant, évitement des signatures réseau communes
IOC
31.59.40[.]187, 45.125.66[.]79, 87.121.84[.]34, 141.11.62[.]222, 220.158.232[.]99
🔗 Source originale : https://www.vulncheck.com/blog/hikvision-mount-shell