категории | RSS

Новый ботнет использует уязвимости в сетевых видеорегистраторах и маршрутизаторах TP-Link

Новый ботнет на базе Mirai активно эксплуатирует уязвимость удалённого выполнения кода, которая, по-видимому, не исправлена ​​в сетевых видеорегистраторах DigiEver DS-2105 Pro. Кампания стартовала в октябре и нацелена на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.

Одна из уязвимостей была задокументирована исследователем TXOne Та-Лун Йеном и представлена ​​в прошлом году на конференции по безопасности DefCamp в Бухаресте. Исследователь тогда сказал, что проблема затрагивает несколько устройств DVR. Исследователи Akamai заметили, что ботнет начал эксплуатировать уязвимость в середине ноября, но обнаружили доказательства того, что кампания была активна как минимум с сентября.

Помимо уязвимости DigiEver, новый вариант вредоносного ПО Mirai также нацелен на CVE-2023-1389 на устройствах TP-Link и CVE-2018-17532 на маршрутизаторах Teltonika RUT9XX.

Для взлома сетевых видеорегистраторов DigiEver используется уязвимость удалённого выполнения кода (RCE), и хакеры нацелены на URI '/cgi-bin/cgi_main. cgi', который неправильно проверяет вводимые пользователем данные. Это позволяет удаленным неаутентифицированным злоумышленникам вводить команды, такие как 'curl' и 'chmod', через определённые параметры, такие как поле ntp в запросах HTTP POST.

В Akamai утверждают, что атаки Mirai похожи на те, что описаны в презентации Та-Лун Йена.

С помощью инъекции команд злоумышленники получают двоичный файл вредоносного ПО с внешнего сервера и подключают устройство к своей ботнет-сети. Устойчивость достигается путем добавления заданий cron.

После того, как устройство скомпрометировано, оно используется для проведения распределённых атак типа «отказ в обслуживании» (DDoS) или для распространения ПО на другие устройства с использованием наборов эксплойтов и списков учётных данных.

В Akamai говорят, что новый вариант Mirai примечателен использованием шифрования XOR и ChaCha20. Он нацелен на широкий спектр системных архитектур, включая x86, ARM и MIPS.

«Хотя использование сложных методов дешифрования не является чем-то новым, оно предполагает развитие тактики, методов и процедур среди операторов ботнетов на базе Mirai», — комментируют эксперты.

Они подчёркивают, что это примечательно, поскольку «многие ботнеты на базе Mirai по-прежнему зависят от исходной логики обфускации строк из переработанного кода, который был включён в исходный код исходного кода вредоносного ПО Mirai».

Исследователи считают, что ботнет также использует уязвимость CVE-2018-17532 в маршрутизаторах Teltonika RUT9XX и CVE-2023-1389, которая затрагивает устройства TP-Link.

Ранее Министерство торговли США заявило, что рассматривает возможность введения запрета на использования в стране маршрутизаторов TP-Link из-за опасений, что их могут использовать в кибератаках. Минобороны США начало расследование в отношении TP-Link в начале 2024 года. Агентство по кибербезопасности и защите инфраструктуры США отчиталось, что роутеры компании имеют уязвимость, которую злоумышленники могут использовать для удалённого выполнения кода.



Источник новости: habr.com

DimonVideo
2024-12-25T10:50:04Z

Здесь находятся
всего 0. За сутки здесь было 0 человек
Яндекс.Метрика