Месяца не прошло
Новая разновидность ботнета Mirai атакует сетевые накопители Zyxel, используя критическую уязвимость, выявленную всего месяц назад.
Речь идёт о «баге» CVE-2020-9054, допускающем инъекцию команд до авторизации, а следовательно - и запуск произвольного кода удалённо. Злоумышленникам достаточно заманить пользователя уязвимого устройства на нужный сайт, чтобы успешно произвести эксплуатацию уязвимости.
Уязвимыми являются накопители с версиями программных оболочек до 5.21 включительно.
Метод зараженияНовый ботнет, получивший название Mukashi, начинает со сканирования 23 порта TCP, затем разворачивает атаку с брутфорса, пытаясь использовать различные комбинации предустановленных логинов и паролей. Если такую комбинацию удаётся подобрать, контрольный сервер получает сигнал об этом; затем на уязвимое устройство пытаются загрузить shell-скрипт и запустить его, после чего удалить любые признаки своего присутствия.
Разновидность ботнета Mirai атакует сетевые накопители Zyxel, используя «дыру», найденную всего месяц назадЗагруженный и запущенный скрипт, в свою очередь, скачивает и устанавливает различные разновидности бота Mirai, запускает двоичные файлы и снова их удаляет.
Как отметили эксперты Palo Alto Networks Unit 42, ни один из этих двоичных файлов не присутствовал в базе VirusTotal на момент их обнаружения. К моменту публикации исследования Palo Alto, лишь четыре из восьми этих файлов попали в VirusTotal.
Эксперты компании Hold Security обнаружили на подпольных форумах для киберпреступников продажу подробных инструкций о том, как эксплуатировать уязвимость в устройствах Zyxel. Специалисты Palo Alto Networks Unit 42 также отметили, что кто-то пытался встроить эксплойт к устройствам Zyxel в троянец Emotet.
И снова MiraiИсходный код Mirai был опубликован в 2016 г. После этого расплодились его многочисленные деривативы, которые до сих пор портят кровь рядовым пользователям и системным администраторам.
Вариант под названием Mukashi, как и большинство других разновидностей того же ботнета, начинает со сканирования порта 23, а затем привязывается к порту 23448, чтобы предотвратить запуск более одного экземпляра ботнета. От множества предшественников Mukashi отличается использованием специально созданного протокола шифрования.
«С того момента, когда был опубликован тестовый эксплойт к уязвимости в аппаратах Zyxel, прошло всего около месяца, - говорит Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services, - что вполне закономерно, учитывая, насколько тривиальна эксплуатация и насколько легко ввести уязвимое устройство в ботнет. Стоит отметить, что Mukashi, как и почти любой другой ботнет, обладает DDoS-функциональностью, а это означает, что каждое устройство, пользователи которого не сменили «заводской» пароль, несёт угрозу другим».
Zyxel почти сразу выпустил исправления для уязвимости.