Новый ботнет на базе Mirai использует уязвимости в сетевых устройствах

Специалисты по кибербезопасности выявили новый ботнет на базе Mirai, который активно использует уязвимости удаленного выполнения кода (RCE) в сетевых видеорегистраторах DigiEver DS-2105 Pro и маршрутизаторах TP-Link с устаревшими прошивками. Кампания, начавшаяся в октябре текущего года, направлена на устройства, которые имеют незащищённые версии программного обеспечения.

Одной из уязвимостей, которую использует ботнет, является проблема, задокументированная исследователем TXOne Та-Лун Йеном и представленная на конференции DefCamp в прошлом году. Она поражает не только цифровые видеорегистраторы, но и маршрутизаторы от TP-Link.

Злоумышленники эксплуатируют URI '/cgi-bin/cgi_main.cgi', не корректно проверяющий вводимые данные, что позволяет выполнять команды, такие как 'curl' и 'chmod', без аутентификации. После компрометации устройства, они могут использоваться для организации распределённых атак типа DDoS и распространения вредоносного ПО на другие устройства.

Анализ уязвимостей показывает, что ботнет также нацелен на CVE-2023-1389 в TP-Link и CVE-2018-17532 в маршрутизаторах Teltonika RUT9XX. Исследователи из компании Akamai отмечают, что новый вариант Mirai отличается использованием шифрования XOR и ChaCha20, и нацелен на широкий спектр системных архитектур, включая x86, ARM и MIPS.

Министерство торговли США рассматривает возможность введения запрета на использование маршрутизаторов TP-Link в стране, что связано с опасениями о возможных кибератаках. В свою очередь, Минобороны США начало расследование в отношении уязвимостей, обнаруженных в устройствах TP-Link, которые могут быть использованы злоумышленниками для совершения удаленного выполнения кода.

]]>