Le ransomware JungleSec cible les utilisateurs des consoles à distance IPMI

Un rançongiciel, baptisé JungleSec, infecte ses victimes par le biais de cartes IPMI (Intelligent Platform Management Interface) non sécurisées depuis début novembre 2018.

IPMI est une interface de gestion intégrée aux cartes-mères d’un serveur ou installée sous forme de carte additionnelle. Elle permet aux administrateurs de gérer à distance des ordinateurs, de les allumer et de les éteindre, d'obtenir des informations système sur des composants (sondes de température...) et d'accéder à une machine virtuelle basée sur le noyau (KVM).

Cette interface est très utilisée dans le cas d’une location des serveurs d'un sous-traitant dans un centre de colocation distant. Si l'interface IPMI n'est pas correctement configurée, elle pourrait permettre aux attaquants de se connecter à distance aux serveurs et d'en prendre le contrôle. 

Détails techniques 

D’après deux victimes, les attaquants ont installé le logiciel de chiffrement contre rançon JungleSec via l'interface IPMI du serveur. Dans un cas, l'interface IPMI utilisait les mots de passe par défaut du fabricant. Une autre victime a déclaré que l'utilisateur Admin était désactivé, mais que l'attaquant était toujours capable d'y accéder grâce à d'éventuelles vulnérabilités.

Afin d'obtenir un accès root sur le serveur, l'attaquant devait redémarrer l'ordinateur en mode mono-utilisateur (single user mode) pour ensuite télécharger et compiler le logiciel de chiffrement ccrypt encryption program

Une fois que ccrypt était téléchargé et compilé, l'attaquant l'exécutait manuellement afin de chiffrer les fichiers de la victime. Un message, indiquant que la victime devait lire le fichier ENCRYPTED.md, s'affichait lors de l'exécution de la commande "sudo". Ce fichier est en effet la demande de rançon qui contient les instructions de paiement pour récupérer les données chiffrées.    

Recommandations

Changer le mot de passe par défaut est la première étape pour sécuriser une interface IPMI. Beaucoup de ces cartes proviennent du fabricant avec des mots de passe par défaut comme Admin/Admin, il est donc impératif que le mot de passe soit immédiatement changé.

Les administrateurs doivent également configurer des listes de contrôle d'accès (ACL) qui n'autorisent que certaines adresses IP à accéder à l'interface IPMI. De plus, les interfaces IPMI doivent être configurées pour être atteintes uniquement par des adresses IP internes de sorte qu'elles ne soient accessibles que par les administrateurs locaux ou par une connexion VPN.

Enfin, il est fortement déconseillé de payer la rançon pour toute attaque de type rançongiciel.