Dropbear

🔍 Contexte Publié le 17 juin 2026 par les chercheurs Alex.Turing et Acey9 du laboratoire XLab de QiAnXin, cet article présente une analyse technique détaillée du botnet AryStinger, découvert le 12 mars 2026 via le système de surveillance réseau XLab. 🎯 Campagne et vecteurs d’infection Les attaquants exploitent des vulnérabilités anciennes pour compromettre des équipements réseau : CVE-2013-3307 et CVE-2016-5681 : ciblant des routeurs Linksys et D-Link basés sur les puces RTL819X (ère 2012-2015) CVE-2025-11837 : ciblant des périphériques NAS (détecté le 26 avril 2026) Le vecteur initial est un script shell téléchargeant et exécutant l’échantillon AryStinger depuis le serveur hgodpcx.ajb8.com. ...

Source : oss-sec (mailing list). Dans un post signé par “turistu” le 16 décembre 2025, un rapport technique décrit CVE-2025-14282 affectant le serveur SSH Dropbear en mode multi-utilisateur. • Problème principal : Dropbear exécute les redirections de sockets (TCP/UNIX) en tant que root durant l’authentification et avant le spawn du shell, ne basculant de manière permanente vers l’utilisateur connecté qu’ensuite. Avec l’ajout récent du forwarding vers des sockets de domaine UNIX (commit 1d5f63c), un utilisateur SSH authentifié peut se connecter à n’importe quel socket UNIX avec les identifiants root, contournant les permissions du système de fichiers et les contrôles SO_PEERCRED / SO_PASSCRED. ...