Một phiên bản mới của botnet Mirai khét tiếng đang khai thác lỗ hổng nghiêm trọng gần đây chưa được phát hiện trong các thiết bị lưu trữ gắn mạng (NAS) trong nỗ lực lây nhiễm và kiểm soát các máy dễ bị tấn công từ xa.
Được gọi là ” Mukashi ” , biến thể mới của phần mềm độc hại sử dụng các cuộc tấn công vũ phu bằng cách sử dụng các kết hợp thông tin mặc định khác nhau để đăng nhập vào các sản phẩm tường lửa Zyxel NAS, UTM, ATP và VPN để kiểm soát các thiết bị và thêm chúng vào mạng bị nhiễm các bot có thể được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Nhiều sản phẩm NAS Zyxel chạy các phiên bản phần mềm lên tới 5.21 dễ bị tổn thương, nhóm tình báo mối đe dọa toàn cầu Đơn vị 42 của Palo Alto Networks cho biết, họ đã phát hiện ra lần khai thác lỗ hổng đầu tiên như vậy vào ngày 12 tháng 3.
Lỗ hổng injection lệnh xác thực trước của Zyxel
Mukashi dựa vào lỗ hổng injection xác thực trước (được theo dõi là CVE-2020-9054 ), trong đó một bằng chứng khái niệm chỉ được công bố vào tháng trước. Lỗ hổng nằm trong chương trình “weblogin.cgi” được sử dụng bởi các thiết bị Zyxel, do đó có khả năng cho phép kẻ tấn công thực hiện mã từ xa thông qua lệnh tiêm.
“Weblogin.cgi thực thi không quản lý đúng tham số tên người dùng trong khi xác thực. Kẻ tấn công có thể sử dụng một trích dẫn (‘) để đóng chuỗi và dấu chấm phẩy (;) để nối các lệnh tùy ý để đạt được việc command injection”, theo Đơn vị 42 nhà nghiên cứu. “Vì weblogin.cgi chấp nhận cả hai yêu cầu HTTP GET và POST,
Zyxel đã đưa ra một bản vá cho lỗ hổng vào tháng trước sau khi xuất hiện rằng các hướng dẫn chính xác để khai thác lỗ hổng đang được bán trong các diễn đàn tội phạm mạng ngầm với giá 20.000 đô la để sử dụng chống lại các mục tiêu. Nhưng bản cập nhật không giải quyết được lỗ hổng trên nhiều thiết bị cũ không được hỗ trợ.
Như một giải pháp thay thế, nhà sản xuất thiết bị mạng có trụ sở tại Đài Loan đã kêu gọi người dùng những mẫu bị ảnh hưởng này không để các sản phẩm tiếp xúc trực tiếp với Internet và kết nối chúng với bộ định tuyến bảo mật hoặc tường lửa để bảo vệ thêm.
Mukashi nhắm vào các thiết bị NAS Zyxel
Cũng giống như các biến thể Mirai khác, Mukashi hoạt động bằng cách quét Internet cho các thiết bị IoT dễ bị tổn thương như bộ định tuyến, thiết bị NAS, máy quay an ninh và máy quay video kỹ thuật số (DVR), tìm kiếm các máy chủ tiềm năng chỉ được bảo vệ bởi thông tin mặc định của nhà máy hoặc thường được sử dụng mật khẩu để đồng chọn chúng vào botnet.
Nếu đăng nhập bằng tấn công brute force thành công, Mukashi không chỉ báo cáo nỗ lực đăng nhập đến máy chủ chỉ huy và kiểm soát (C2) do kẻ tấn công điều khiển từ xa mà còn chờ lệnh tiếp theo để khởi động các cuộc tấn công DDoS.
“Khi nó được thực thi, Mukashi in thông báo ”Protecting your device from further infections’ với bàn điều khiển, “các nhà nghiên cứu của Unit42 nói. “Phần mềm độc hại sau đó tiến hành thay đổi tên quy trình của nó thành drcrcper, cho thấy Mukashi có thể thừa hưởng một số đặc điểm nhất định từ người tiền nhiệm.”
Lịch sử các cuộc tấn công DDoS của Mirai
Mạng botnet Mirai , kể từ khi được phát hiện vào năm 2016, đã được liên kết với một chuỗi các cuộc tấn công DDoS quy mô lớn, bao gồm một cuộc tấn công với nhà cung cấp dịch vụ DNS Dyn vào tháng 10 năm 2016, khiến các nền tảng và dịch vụ internet lớn vẫn không thể truy cập được đối với người dùng ở Châu Âu và Bắc Mỹ .
Kể từ đó, nhiều biến thể của Mirai đã xuất hiện, một phần là do sự sẵn có của mã nguồn trên Internet kể từ năm 2016.
Chúng tôi khuyên tất cả người tiêu dùng Zyxel tải xuống bản cập nhật chương trình cơ sở để bảo vệ các thiết bị khỏi các vụ không tặc Mukashi. Cập nhật thông tin đăng nhập mặc định bằng mật khẩu đăng nhập phức tạp cũng có thể đi một chặng đường dài hướng tới việc ngăn chặn các cuộc tấn công brute force như vậy.