聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
一款新型僵尸网络的作者正在攻击受严重漏洞影响的联网设备,其中一些漏洞还影响网络安全设备。
这些攻击仍然在进行,而且使用的是公开披露的 exploit,有时exploit 仅发布几小时后就遭利用。目前至少10个漏洞的 exploit 代码遭利用,最新的 exploit 是上周末才被添加。
新旧漏洞皆遭利用
被攻陷的设备最终沦为 Mirai 僵尸网络恶意软件的一个变种,专门攻击该设备的架构。2月中旬,Palo Alto Networks Unit 42 的安全研究员发现该僵尸网络发动的攻击并跟踪其活动。该僵尸网络的作者花了大概一个月的时间集成10个漏洞的 exploit,其中有些漏洞是严重级别,用于攻击多个目标。其中一个 exploit 被称为 “VisualDoor”,是位于 SonicWall SSL-VPN 设备中的一个远程命令注入漏洞,厂商称多年前已修复。
这些攻击活动还利用新近出现的 exploit,如CVE-2021-22520的exploit。该漏洞是位于 Vertica 公司 Micro Focus Operation Bridge Reporter (OBR) 中的一个远程代码执行漏洞。OBR 使用大数据技术创建基于源自其它企业软件的数据的性能报告。
该 Mirai 僵尸网络变体还利用了影响 Yealink Device Management 的两个严重漏洞(CVE-2021-27561 和 CVE-2021-27562)。这些漏洞是由独立研究员 Pierre Kim 和 Alexandre Torres 通过 SSD Secure Disclosure 计划报告的。它们是由用户提供的数据未被正确过滤造成的,可导致未认证攻击者在服务器上以 root 权限运行任意命令。
Unit 42 的研究员表示,由于攻击目标不确定,其中遭利用的三个漏洞尚不清楚是哪些。如下是这些攻击活动中遭利用的缺陷。
攻击者成功攻陷设备后,会释放多个二进制,从而调度任务、创建过滤规则、实施暴力攻击或传播僵尸网络恶意软件:
Lolol.sh:下载并运行专门针对架构的”暗黑“二进制;它还会调度任务,重新运行该脚本并创建流量规则,拦截SSH、HTTP、telnet 常见端口的接入连接
Install.sh:安装 ‘zmap’ 网络扫描器,下载 GoLang 和文件,在 ‘zmap’ 发现的 IP 地址运行暴力攻击
Nbrute.[arch]:暴力攻击的二进制
Combo.txt:暴力攻击者使用的具有凭据的文本文件
Dark.[arch]:基于Mirai 的二进制,用于通过exploit 或暴力攻击传播恶意软件
推荐阅读
当心! 物联网僵尸网络 Mirai 和 Gafgyt 瞄上了企业
参考链接
https://www.bleepingcomputer.com/news/security/new-botnet-targets-network-security-devices-with-critical-exploits/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
1255
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
