Нов вариант на популярния IoT ботнет Mirai атакува активно NAS устройства на Zyxel, предава специализираната група за сигурност към Palo Alto Networks, Unit 42. Името, което му дават от компанията е Mukashi.

Атаките засягат почти всички NAS устройства на компанията. Първоначалният вектор на атака се изразява в опит да бъде разбрана паролата, защитаваща достъпа до масивите – най-често в плен попадат устройства, които имат непроменени двойка потребителско име и парола, идващи с него, след което хакерите експлоатират CVE-2020-9054, уязвимост, позволяваща изпълнението на произволен код по отдалечен път към устройството. Въпросната уязвимост е категоризирана като критична, тъй като е сравнително лесна за експлоатиране и позволява пълното превземане на NAS устройството, като експлойт кодът се предлага вече свободно в някои даркуеб форуми, отбелязват от компанията. Според тях има индикации, че престъпниците съчетават в някои случаи Mukashi с Emotet.

„Изпълнимият файл weblogin.cgi не санитизира по коректен начин параметъра на потребителското име по време на автентикация. Така, атакуващата страна може да използва единичен апостроф ‘, за да закрие стринга, и точка и запетая ; и да слее (concat) произволни компанди, за да постигне инжектиране на команда“, пишат авторите на доклада в техническото описание на конкретната атака. Това, което прави Mukashi в началото е същоъо, като Mirai – сканира произволно за открити TCP портове 23 в Интернет. Когато намери такова устройство стартира и споменатата процедура по опит за разбиване на паролата с пробата на множество комбинации от предварително изготвен списък. Веднъж успял, ботнетът се свързва с команден сървър, контролиран от хакерите. Промяната на двойката име и парола, които идват по подразбиране към устройствата, осуетява опитите за успешна атака.

2
ДОБАВИ КОМЕНТАР

avatar
2 Коментари
0 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
IoS (internet of the shits)
IoS (internet of the shits)

„Изпълнимият файл weblogin.cgi не санитизира по коректен начин параметъра на потребителското име по време на автентикация…“

Автентикво…?.. Или ако оторизира няма да е кул в гиик обществото,и билдването на чуждици ще девелъпи повече кликове на веб съдържание таргетиращо кастинг от потребители в тоя домейн.. 😎
Хората, четящи такива статии в повечето случаи сме наясно с термините и може да оставите оригиналният текст, а под него или в скоби да добавите превода за всеки случай..

Nikolov
Nikolov

„Ботнет атакува NAS устройства на Zixel“

Оправете си заглавието!!!!!
Zyxel