Selon Varonis, une enquête a révélé la compromission d’un serveur web Linux exploitée pendant plusieurs mois via une vulnérabilité de téléversement de fichiers non restreint, due à une page d’upload mal configurée exposée sur Internet.
L’acteur a pu téléverser des web shells PHP obfusqués 🐚. Bien que l’attaque ait été contenue par des restrictions réseau empêchant la communication externe des web shells, l’incident met en évidence des lacunes critiques, dont des systèmes non patchés, l’absence d’EDR et une segmentation réseau insuffisante.
Analyse technique: le web shell était obfusqué (encodage base64 + compression Deflate) et offrait des capacités d’accès au système, navigation de répertoires, manipulation de fichiers et établissement de reverse shell. Des scripts malveillants additionnels ont été découverts, notamment un PHP Leaf Mailer utilisé pour des campagnes de spam 📨.
Contexte sécurité: le serveur présentait plusieurs CVE à gravité élevée non corrigées, et manquait de protection EDR, de journalisation centralisée et d’une segmentation réseau appropriée.
IOCs et TTPs:
- IOCs: non communiqués dans l’article.
- TTPs:
- Exploitation d’un téléversement de fichiers non restreint via une page d’upload exposée
- Web shells PHP obfusqués (base64 + Deflate)
- Reverse shell
- Déploiement d’un PHP Leaf Mailer pour le spam
- Présence de vulnérabilités critiques non patchées et absence de EDR/logs centralisés/segmentation réseau
Il s’agit d’un rapport d’incident et d’analyse technique visant à documenter la compromission et à fournir des recommandations défensives pour éviter des attaques similaires.
🔗 Source originale : https://www.varonis.com/blog/misconfigured-upload-path
🖴 Archive : https://web.archive.org/web/20250831180019/https://www.varonis.com/blog/misconfigured-upload-path