查看原文
其他

Mirai 新变体利用严重漏洞攻击网络安全设备

Ionut Ilascu 代码卫士 2022-06-01

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队




一款新型僵尸网络的作者正在攻击受严重漏洞影响的联网设备,其中一些漏洞还影响网络安全设备。


这些攻击仍然在进行,而且使用的是公开披露的 exploit,有时exploit 仅发布几小时后就遭利用。目前至少10个漏洞的 exploit 代码遭利用,最新的 exploit 是上周末才被添加。

新旧漏洞皆遭利用

被攻陷的设备最终沦为 Mirai 僵尸网络恶意软件的一个变种,专门攻击该设备的架构。2月中旬,Palo Alto Networks Unit 42 的安全研究员发现该僵尸网络发动的攻击并跟踪其活动。该僵尸网络的作者花了大概一个月的时间集成10个漏洞的 exploit,其中有些漏洞是严重级别,用于攻击多个目标。其中一个 exploit 被称为 “VisualDoor”,是位于 SonicWall SSL-VPN 设备中的一个远程命令注入漏洞,厂商称多年前已修复。

这些攻击活动还利用新近出现的 exploit,如CVE-2021-22520的exploit。该漏洞是位于 Vertica 公司 Micro Focus Operation Bridge Reporter (OBR) 中的一个远程代码执行漏洞。OBR 使用大数据技术创建基于源自其它企业软件的数据的性能报告。

该 Mirai 僵尸网络变体还利用了影响 Yealink Device Management 的两个严重漏洞(CVE-2021-27561 和 CVE-2021-27562)。这些漏洞是由独立研究员 Pierre Kim 和 Alexandre Torres 通过 SSD Secure Disclosure 计划报告的。它们是由用户提供的数据未被正确过滤造成的,可导致未认证攻击者在服务器上以 root 权限运行任意命令。

Unit 42 的研究员表示,由于攻击目标不确定,其中遭利用的三个漏洞尚不清楚是哪些。如下是这些攻击活动中遭利用的缺陷。


攻击者成功攻陷设备后,会释放多个二进制,从而调度任务、创建过滤规则、实施暴力攻击或传播僵尸网络恶意软件:

  • Lolol.sh:下载并运行专门针对架构的”暗黑“二进制;它还会调度任务,重新运行该脚本并创建流量规则,拦截SSH、HTTP、telnet 常见端口的接入连接

  • Install.sh:安装 ‘zmap’ 网络扫描器,下载 GoLang 和文件,在 ‘zmap’ 发现的 IP 地址运行暴力攻击

  • Nbrute.[arch]:暴力攻击的二进制

  • Combo.txt:暴力攻击者使用的具有凭据的文本文件

  • Dark.[arch]:基于Mirai 的二进制,用于通过exploit 或暴力攻击传播恶意软件





推荐阅读
警惕!Mirai 新变体带着11个新利用攻击企业设备
Mirai 作者之一被罚 860 万美元
当心! 物联网僵尸网络 Mirai 和 Gafgyt 瞄上了企业



参考链接

https://www.bleepingcomputer.com/news/security/new-botnet-targets-network-security-devices-with-critical-exploits/


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存