HackerNews 编译,转载请注明出处:
自10月起,一个基于Mirai的新型僵尸网络开始活跃利用DigiEver DS-2105 Pro NVR设备中的一个未打补丁的远程代码执行漏洞。该漏洞尚未获得正式的跟踪编号。
该僵尸网络的攻击目标不仅限于DigiEver设备,还包括多个网络视频录制机(NVR)和固件版本过时的TP-Link路由器。
TXOne研究员Ta-Lun Yen去年在罗马尼亚布加勒斯特的DefCamp安全会议上曾展示过一个影响多个DVR设备的类似漏洞。Akamai的研究员发现,尽管该僵尸网络自11月中旬才开始大规模利用这一漏洞,但相关活动迹象至少可以追溯到9月。
此外,这个新型的Mirai恶意软件变种还针对TP-Link设备上的CVE-2023-1389漏洞和Teltonika RUT9XX路由器上的CVE-2018-17532漏洞发起了攻击。
攻击DigiEver NVR
被利用来攻破DigiEver NVR的漏洞是一个远程代码执行(RCE)漏洞,攻击者通过利用’/cgi-bin/cgi_main.cgi’ URI中的不正确用户输入验证来发动攻击。
这使得远程未认证的攻击者能够通过特定参数(如HTTP POST请求中的ntp字段)注入命令,如’curl’和’chmod’。
Akamai表示,该Mirai僵尸网络的攻击与Ta-Lun Yen演示中描述的攻击非常相似。
通过命令注入,攻击者从外部服务器获取恶意软件二进制文件,并将设备纳入其僵尸网络。通过添加定时任务(cron jobs),攻击者实现了持久化。
一旦设备被攻陷,它将被用于发起分布式拒绝服务(DDoS)攻击,或通过利用漏洞集和凭证列表传播到其他设备。
Akamai指出,这个新的Mirai变种在技术上具有显著特点,它运用了XOR和ChaCha20加密技术,并且能够针对x86、ARM和MIPS等多种系统架构发起攻击。
Akamai评论道:“尽管采用复杂的解密手段并非首次出现,但这无疑表明Mirai僵尸网络的运营者正在持续更新其战术、技术和程序。”
研究人员进一步强调:“这一现象尤为值得关注,因为许多基于Mirai的僵尸网络至今仍依赖从原始Mirai恶意软件源代码中沿用的字符串混淆逻辑。”
此外,该僵尸网络还利用了另外两个已知漏洞:CVE-2018-17532(影响Teltonika RUT9XX路由器)和CVE-2023-1389(影响TP-Link设备)。
Akamai报告的末尾提供了与该活动相关的攻击指示符(IoC)以及用于检测和防御该威胁的Yara规则,以帮助企业和安全团队有效应对这一新型Mirai变种带来的挑战。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
