Mirai Botnet målretter nu en fejl i BIG-IP-implementeringen, der fører til produktion af CVE-2020-5902 rådgivning. Denne sikkerhedssårbarhed blev identificeret i den første uge i juli 2020 og er blevet identificeret som en kritisk fejl.
BIG-IP-implementering er defekt: CVE-2020-5902 Rådgivning udstedt: Målrettet efter Mirai Botnet
Mirai botnet bruges aktivt til at trænge ind på netværksapparater og værter, der er identificeret til at falde ned til CVE-2020-5902 sårbarhed. Dette er en nylig rådgivning, der spores af sikkerhedsfællesskabet og efterfølgende er blevet implementeret af hackere i Mirai botnet. Den første afsløring af emnet blev offentliggjort i den første uge i juli i år - dette har fået netværksingeniører og sikkerhedsadministratorer til at revidere deres systemer og se, om de er sårbare.
Den udgivet rådgivende har tilladt computerhacker at få viden om problemet og inkludere den relevante udnyttelseskode i Mirai botnet-infiltreringsmodulet. Derudover blev fejlen tilføjet Shodan-søgemaskine som tillader enhver at scanne efter sårbare netværk og eksponerede netværksværter.
Ved at designe bugten er kategoriseret som en fjernkørsel af programkode fejl, der findes i implementeringen af BIG-IP-netværket. Svagheden er en del af administrationsgrænsefladen for suiten - tilsyneladende er en afbødningsregel i Apache-webserverens konfigurationsfil tillade, at eksterne angribere udnytter tjenesten. Dette gøres ved at indsætte en semikolonanmodning via URL - webserveren fortolker dette som en kommandoen er færdig med at skifte. Alt dette betyder, at hackere ved hjælp af en simpel URL-manipulation kan udstede kommandoer til den eksterne vært.
Det er relativt simpelt at oprette fungerende proof-of-concept-kode i populære programmeringssprog - dette gør det muligt for malware-brugere let at sende netværkssonden anmodninger til potentielt sårbare netværk. Efter en netværksscanning kan berørte værter også opdages. Mirai botnet-berørte computere og netværksenheder er blevet bekræftet. Dette viser, at hackerne har haft succes med deres angreb - så snart fejlen er blevet identificeret, har det været hurtigt at udnytte målnetværkene.
En sikkerhedsundersøgelse afslører, hvordan Mirai Botnet har opført sig på sådanne systemer. Botnet blev brugt til at udnytte systemerne, og derfra er følgende sekvens startet:
- Efter indtrængen vil Mirai botnet hacker-oprettede filer på de kompromitterede systemer.
- Disse filer kan kommanderes til at køre på værtsnetværkene, og afhængigt af deres konfiguration kan de starte angreb fra brute-force mod arbejdstjenester eller misbruge andre mangler.
- I de fleste tilfælde kan filerne starte en nyttelast-dropper-funktion, der vil downloade anden malware til enheden.
- I næsten alle tilfælde kan de kompromitterede værter få deres kontrol overhalet af de kriminelle ved hjælp af en lokal motor, der vil oprette forbindelse til en hacker-kontrolleret server.
Da der er mange inficerede enheder, rådes netværksenhedsejere til anvende de nyeste sikkerhedsrettelser og opdateringer af firmware for at beskytte deres systemer. Forebyggelse af at få adgang til følsomme tjenester fra Internettet kan ske via implementeringen af VPN-tjenester. Som altid anbefales overvågning af sikkerhedsstatus til enhver tid.