Новый ботнет Mirai нацелился на устройства сетевой безопасности с критическими уязвимостями

Дата: 17.03.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Новый ботнет Mirai нацелился на устройства сетевой безопасности с критическими уязвимостями

Специалисты по информационной безопасности компании Palo Alto Networks обнаружили деятельность нового ботнета, который нацелен на устройства сетевой безопасности, подверженные критических уязвимостям.

Несмотря на то, что деятельность ботнета, названного Mirai, была зарегистрирована еще в начале февраля 2021 года, в компании Palo Alto Networks отмечают, что кибератаки до сих пор активны – хакеры пользуются общедоступными эксплойтами, в том числе и теми, которые были опубликованы на профильных ресурсах «буквально несколько часов назад».

Представители Palo Alto Networks заявили: «При успешной атаке после эксплуатации одной из критических уязвимостей на скомпрометированном пользовательском устройстве создается вариант вредоносного ПО ботнета Mirai, который специфичен для архитектуры конкретного устройства».

Специалисты Palo Alto Networks атаки со стороны ботнета Mirai обнаружили в начале февраля 2021 года и начали отслеживать его активность. Операторам ботнета понадобился месяц, чтобы успешно интегрировать эксплойты для десятка уязвимостей, большинство из которых являются критическими.

При проведении атак ботнет Mirai эксплуатирует множество «свежих» уязвимостей:

  • VisualDoor – эксплойт для уязвимости удаленной инъекции команд в устройствах SonicWall SSL-VPN (производитель заявляет, что ошибки были исправлены несколько лет назад).
  • CVE-2021-22502 – ошибка удаленного выполнения произвольного кода в Micro Focus Operation Bridge Reporter (OBR) от компании Vertica.
  • CVE-2021-27561 и CVE-2021-27562 (связаны с Yealink Device Management).
  • CVE-2020-25506 – уязвимость удаленного выполнения команд межсетевого экрана D-Link DNS-320.
  • CVE-2019-19356 – уязвимость удаленного выполнения кода в маршрутизаторе Netis WF2419.
  • CVE-2020-26919 – уязвимость неаутентифицированного удаленного выполнения кода в Netgear ProSAFE Plus.
  • а также еще три неизвестные и неопознанные уязвимости.

Если в результате проведения атаки с использованием одной из критических уязвимостей хакерам удалось получить доступ к скомпрометированному устройству, то киберпреступники сбрасывают различные двоичные файлы, позволяющие им на машине жертвы планировать задания, создавать правила фильтрации, запускать кибератаки методом перебора или распространять вредоносного ПО ботнета Mirai.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *