СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
17.03.2021
#ИБ#Инфра

Новый ботнет Mirai нацелился на устройства сетевой безопасности с критическими уязвимостями

Новый ботнет Mirai нацелился на устройства сетевой безопасности с критическими уязвимостями

Grid of black cpus with different iot symbols in white and one shining red hacker icon cybersecurity concept 3D illustration

Специалисты по информационной безопасности компании Palo Alto Networks обнаружили деятельность нового ботнета, который нацелен на устройства сетевой безопасности, подверженные критических уязвимостям.

Несмотря на то, что деятельность ботнета, названного Mirai, была зарегистрирована еще в начале февраля 2021 года, в компании Palo Alto Networks отмечают, что кибератаки до сих пор активны – хакеры пользуются общедоступными эксплойтами, в том числе и теми, которые были опубликованы на профильных ресурсах «буквально несколько часов назад».

Представители Palo Alto Networks заявили: «При успешной атаке после эксплуатации одной из критических уязвимостей на скомпрометированном пользовательском устройстве создается вариант вредоносного ПО ботнета Mirai, который специфичен для архитектуры конкретного устройства».

Специалисты Palo Alto Networks атаки со стороны ботнета Mirai обнаружили в начале февраля 2021 года и начали отслеживать его активность. Операторам ботнета понадобился месяц, чтобы успешно интегрировать эксплойты для десятка уязвимостей, большинство из которых являются критическими.

При проведении атак ботнет Mirai эксплуатирует множество «свежих» уязвимостей:

  • VisualDoor – эксплойт для уязвимости удаленной инъекции команд в устройствах SonicWall SSL-VPN (производитель заявляет, что ошибки были исправлены несколько лет назад).
  • CVE-2021-22502 – ошибка удаленного выполнения произвольного кода в Micro Focus Operation Bridge Reporter (OBR) от компании Vertica.
  • CVE-2021-27561 и CVE-2021-27562 (связаны с Yealink Device Management).
  • CVE-2020-25506 – уязвимость удаленного выполнения команд межсетевого экрана D-Link DNS-320.
  • CVE-2019-19356 – уязвимость удаленного выполнения кода в маршрутизаторе Netis WF2419.
  • CVE-2020-26919 – уязвимость неаутентифицированного удаленного выполнения кода в Netgear ProSAFE Plus.
  • а также еще три неизвестные и неопознанные уязвимости.

Если в результате проведения атаки с использованием одной из критических уязвимостей хакерам удалось получить доступ к скомпрометированному устройству, то киберпреступники сбрасывают различные двоичные файлы, позволяющие им на машине жертвы планировать задания, создавать правила фильтрации, запускать кибератаки методом перебора или распространять вредоносного ПО ботнета Mirai.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: