Récemment, Check Point Research a rencontré plusieurs attaques qui exploitent de multiples vulnérabilités sur les appareils Linux, y compris certaines failles récemment découvertes. Ces attaques en cours impliquent une nouvelle variante de logiciel malveillant, appelée "FreakOut". L'objectif de ces attaques est de créer un botnet IRC (un ensemble de machines infectées par des logiciels malveillants qui peuvent être contrôlées à distance), qui peut ensuite être utilisé pour des activités malveillantes, comme le lancement d'attaques DDoS (attaque par déni de service) sur les réseaux d'autres organisations, ou pour des activités de crypto-minage sur les machines infectées, qui peuvent potentiellement arrêter des systèmes entiers infectés.

Les attaques visent les appareils Linux qui exécutent l'un des produits suivants, qui présentent tous des vulnérabilités relativement nouvelles qui sont exploitées par le malware FreakOut si les produits n'ont pas été corrigés : 

• TerraMaster TOS (TerraMaster Operating System), un fournisseur bien connu de dispositifs de stockage de données
• Zend Framework, une collection populaire de progiciels de bibliothèque, utilisée pour la création d'applications web
• Liferay Portal, un portail d'entreprise gratuit et à code source ouvert, avec des fonctionnalités permettant de développer des portails et des sites web

S'il est exploité avec succès, chaque dispositif infecté par le malware FreakOut peut être utilisé comme une plate-forme d'attaque contrôlée à distance par les acteurs de la menace derrière l'attaque, leur permettant de cibler d'autres dispositifs vulnérables pour étendre leur réseau de machines infectées.   Les capacités du logiciel malveillant FreakOut comprennent l'analyse des ports, la collecte d'informations, la création et l'envoi de paquets de données, le reniflage du réseau et la capacité de lancer des attaques DDoS et d'inondation du réseau.

L'attentat exploite les CVE suivants :

• CVE-2020-28188 – publié le 28/12/20 - TerraMaster TOS
• CVE-2021-3007 – publié le 3/1/21 - Zend Framework
• CVE-2020-7961 – publié le 20/03/20 - Portail Liferay 

Des correctifs sont disponibles pour tous les produits concernés par ces CVE, et il est conseillé aux utilisateurs de ces produits de vérifier d'urgence tous les dispositifs qu'ils utilisent, de les mettre à jour afin de se protéger contre ces vulnérabilités.

Selon Check Point Research qui a examiné le code du malware, l'attaquant peut utiliser les systèmes compromis par FreakOut pour d'autres activités malveillantes, telles que le crypto-minage, la propagation latérale à travers les réseaux d'entreprise, ou le lancement d'attaques DDoS sur les réseaux d'autres organisations, qui peuvent arrêter l'ensemble des systèmes infectés.