网安 - 专业的网络安全产业、社区、知识平台

Mirai 新变种曝光,针对 D-Link,Netgear 和 SonicWall 设备漏洞

Andrew2021-03-18 13:57:28

Mirai的新变种针对D-Link,Netgear和SonicWall设备中的已知漏洞以及未知IoT设备中的新发现的漏洞。

已发现Mirai僵尸网络的新变种,其针对的是未修补的D-Link,Netgear和SonicWall设备中的大量漏洞,以及未知的物联网(IoT)小工具中前所未有的漏洞。

自2月16日以来,新变种针对的是六个已知漏洞-和三个以前未知的漏洞-以感染系统并将其添加到僵尸网络中。这只是未来的最新变种来光,年恶意软件的源代码后,发布在2016年十月。

帕洛阿尔托网络公司第42小组小组的研究人员周一说:“在撰写本文时,攻击仍在继续。” “在成功利用后,攻击者尝试下载恶意的shell脚本,其中包含进一步的感染行为,例如下载和执行Mirai变体和暴力破解程序。”

初始漏洞利用:新旧漏洞

攻击利用了许多漏洞。利用的已知漏洞包括:SonicWall SSL-VPN漏洞;D-Link DNS-320防火墙利用(CVE-2020-25506); Yealink设备管理远程代码执行(RCE)漏洞(CVE-2021-2756);Netgear ProSAFE Plus RCE漏洞(CVE-2020-26919); Micro Focus Operation Bridge Reporter(CVE-2021-22502)中的RCE漏洞;和Netis WF2419无线路由器漏洞利用(CVE-2019-19356)。

修补程序可解决所有的这些漏洞。僵尸网络以尚未应用可用更新的设备为目标。

例如,SonicWall发言说,“例如,有问题的VisualDoor攻击针对的是一个旧的SSL-VPN固件漏洞,该漏洞已在2015年用7.5.1.4-43sv和8.0.0.4-25sv版本修复在旧产品上。” “对于任何经过适当修补的SonicWall设备,它是不可行的。”

僵尸网络还利用了以前未发现的漏洞。研究人员认为,这些漏洞存在于物联网设备中。

“我们无法确定地说出那些针对未知身份攻击的目标设备是什么,” 42号机的首席研究员张志斌告诉《 Threatpost》。“但是,基于样本中的其他已知漏洞利用,以及历史上选择与Mirai结合使用的漏洞利用的性质,很有可能它们针对物联网设备。”

该漏洞利用程序本身包括两种RCE攻击-包括针对某些组件中的命令注入漏洞的漏洞利用程序;以及针对通用网关接口(CGI)登录脚本的漏洞利用(未正确清理源自关键参数的内容)。研究人员说,第三个漏洞利用针对op_type参数,该参数未正确清理导致命令注入。

研究人员指出,后者“过去曾被Moobot [僵尸网络]使用,但是确切的目标尚不清楚”。Threatpost已与研究人员联系,以获取有关这些未知目标的更多信息。

Mirai僵尸网络:一组二进制文件

初步利用后,该恶意软件会调用wget实用程序(从Web服务器检索内容的合法程序),以便从该恶意软件的基础结构下载Shell脚本。然后,shell脚本会下载几个Mirai二进制文件并逐个执行。

一个这样的二进制文件包括lolol.sh,它具有多种功能。Lolol.sh从目标计算机上删除密钥文件夹(包括具有现有计划作业和启动脚本的密钥文件夹);创建数据包过滤器规则以禁止针对常用的SSH,HTTP和telnet端口的传入流量(以使管理员更难以访问远程访问受影响的系统);并计划一项旨在每小时重新运行lolol.sh脚本(以保持持久性)的作业。研究人员说,值得注意的是,由于cron配置不正确,后一个过程存在漏洞。

另一个二进制文件(install.sh)下载各种文件和软件包-包括GoLang v1.9.4,“ nbrute ”二进制文件(对各种凭据进行暴力破解)和combo.txt文件(其中包含大量凭据组合,用于进行暴力破解) -通过“ nbrute”强制)。

最终的二进制文件称为dark.[arch],它基于Mirai代码库。该二进制文件主要用于传播,可以通过上述各种初始Mirai漏洞利用,也可以通过使用二进制文件中的硬编码凭据的暴力SSH连接来实现。

Mirai变体继续弹出

该变体是依靠Mirai的源代码而来的最新版本,自2016年DNS提供商Dyn大规模分布式拒绝服务(DDoS)拆除以来,它已激增为60多个变体。

据安全研究人员称,去年发现了一个Mirai变种,它使用一个直到最近才发现的严重漏洞,针对Zyxel网络附加存储(NAS)设备。在2019年,发现了一个僵尸网络的变种,它在企业无线演示和显示系统中发现并针对漏洞。并且,使用了2018年的变体针对金融行业企业发起了一系列DDoS运动。

研究人员说,这里最大的收获是,连接的设备继续给用户带来安全问题。他们强烈建议客户在可能的情况下应用补丁。

根据Unit 42的报告,“ IoT领域仍然是攻击者易于访问的目标”。“许多漏洞非常容易利用,在某些情况下可能会带来灾难性的后果。”

d-linksonicwall
本作品采用《CC 协议》,转载必须注明作者和本文链接
Mirai 新变种曝光,针对 D-Link,Netgear 和 SonicWall 设备漏洞
2021-03-18 13:57:28
Mirai的新变种针对D-Link,Netgear和SonicWall设备中的已知漏洞以及未知IoT设备中的新发现的漏洞。这只是未来的最新变种来光,年恶意软件的源代码后,发布在2016年十月。研究人员认为,这些漏洞存在于物联网设备中。在2019年,发现了一个僵尸网络的变种,它在企业无线演示和显示系统中发现并针对漏洞。并且,使用了2018年的变体针对金融行业企业发起了一系列DDoS运动。根据Unit 42的报告,“ IoT领域仍然是攻击者易于访问的目标”。
一款漏洞检测工具(460个poc)可使用fofa采集自动化
2023-04-17 10:13:56
F-vuln(全称:Find-Vulnerability)是为了自己工作方便专门编写的一款自动化工具,主要适用于日常安全服务、渗透测试人员和RedTeam红队人员,它集合的功能包括:存活IP探测、开放端口探测、web服务探测、web漏洞扫描、smb爆破、ssh爆破、ftp爆破、mssql爆破等其他数据库爆破工作以及大量web漏洞检测模块。
一文读懂HW护网行动
2022-07-26 12:00:00
随着《网络安全法》和《等级保护制度条例2.0》的颁布,国内企业的网络安全建设需与时俱进,要更加注重业务场景的安全性并合理部署网络安全硬件产品,严防死守“网络安全”底线。“HW行动”大幕开启,国联易安誓为政府、企事业单位网络安全护航!
网络空间安全动态第143期
2021-09-01 00:00:00
一、发展动向热讯
D-Link 确认数据泄露:员工成为网络钓鱼攻击的受害者
2023-10-19 11:04:35
中国台湾网络设备制造商D-Link已经证实,数据泄露导致其所谓的“低敏感性和半公开信息”暴露。
D-Link 路由器漏洞复现(CVE-2019-20215)
2021-12-17 06:39:22
前言本来是打算来挖它的,去搜索它以往爆出的漏洞,就先复现玩玩了,这次用了三种方法来验证,分别为用户级模拟,系统级模拟,
D-Link DIR-645路由器溢出分析
2021-08-30 18:04:39
该漏洞是CGI脚本在处理authentication.cgi请求,来读取POST参数中的"password"参数的值时造成的缓冲区溢出。
D-Link 路由器面临被零日漏洞远程接管的风险
2020-12-10 11:33:17
Digital Defense发现的严重漏洞可以使攻击者获得root访问权限并接管运行相同固件的设备。Buggy固件为零日攻击打开了许多D-Link VPN路由器模型。这些缺陷缺少完整的供应商修复程序,使攻击者可以发起可以远程执行的根命令注入攻击,并允许设备接管。根据Digital Defense周二发布的一份报告,受影响的是运行固件版本和的D-Link路由器型号DSR-150,DSR-250,DSR-500和DSR-1000AC VPN 。
D-Link 发布安全固件更新,修复 DIR-865L 路由器中存在的问题
2020-06-15 11:21:36
D-Link发布了一个固件更新来解决影响DIR-865L家庭路由器模型的三个安全缺陷,但是留下一些问题没有解决 D-Link最近发布了一个固件更新来解决影响DIR-865L无线家庭路由器的六个安全漏洞中的三个。CVE-2020-13782被评为严重,其余为高危,攻击者可以利用它们来执行任意命令、窃取敏感信息、上传恶意负载或删除数据。Palo Alto研究员Gregory Basior说,攻击者可以利用上述漏洞嗅探网络流量并窃取会话cookies。
D-Link无线接入点存在REC漏洞
2018-10-09 17:02:02
上周四D-Link在其企业级无线网络接入点中使用的软件控制器工具中披露了早先存在的四个漏洞,其中两个漏洞使攻击者能够通过系统权限远程执行代码。
Andrew
暂无描述