Ботнет атакува NAS устройства на Zixel

Нов вариант на популярния IoT ботнет Mirai атакува активно NAS устройства на Zyxel, предава специализираната група за сигурност към Palo Alto Networks, Unit 42. Името, което му дават от компанията е Mukashi.

Атаките засягат почти всички NAS устройства на компанията. Първоначалният вектор на атака се изразява в опит да бъде разбрана паролата, защитаваща достъпа до масивите – най-често в плен попадат устройства, които имат непроменени двойка потребителско име и парола, идващи с него, след което хакерите експлоатират CVE-2020-9054, уязвимост, позволяваща изпълнението на произволен код по отдалечен път към устройството. Въпросната уязвимост е категоризирана като критична, тъй като е сравнително лесна за експлоатиране и позволява пълното превземане на NAS устройството, като експлойт кодът се предлага вече свободно в някои даркуеб форуми, отбелязват от компанията. Според тях има индикации, че престъпниците съчетават в някои случаи Mukashi с Emotet.

„Изпълнимият файл weblogin.cgi не санитизира по коректен начин параметъра на потребителското име по време на автентикация. Така, атакуващата страна може да използва единичен апостроф ‘, за да закрие стринга, и точка и запетая ; и да слее (concat) произволни компанди, за да постигне инжектиране на команда“, пишат авторите на доклада в техническото описание на конкретната атака. Това, което прави Mukashi в началото е същоъо, като Mirai – сканира произволно за открити TCP портове 23 в Интернет. Когато намери такова устройство стартира и споменатата процедура по опит за разбиване на паролата с пробата на множество комбинации от предварително изготвен списък. Веднъж успял, ботнетът се свързва с команден сървър, контролиран от хакерите. Промяната на двойката име и парола, които идват по подразбиране към устройствата, осуетява опитите за успешна атака.

източник: kaldata.com

Коментирай

1000
  Subscribe  
Notify of