Das Mirai Botnet zielt nun auf einen Fehler in der BIG-IP-Implementierung ab, Dies führte zur Erstellung des CVE-2020-5902-Gutachtens. Diese Sicherheitslücke wurde in der ersten Juliwoche festgestellt 2020 und wurde als kritischer Fehler identifiziert.
BIG-IP-Implementierung fehlerhaft: CVE-2020-5902 Advisory Issued: Ziel ist das Mirai Botnet
Das Mirai-Botnetz wird aktiv verwendet, um in Netzwerkgeräte und Hosts einzudringen, bei denen festgestellt wurde, dass sie auf das Netzwerk herunterfallen CVE-2020-5902-Sicherheitsanfälligkeit. Dies ist eine aktuelle Empfehlung, die von der Sicherheitsgemeinschaft verfolgt und anschließend von Hackern im Mirai-Botnetz implementiert wurde. Die erste Offenlegung zu diesem Problem wurde in der ersten Juliwoche dieses Jahres veröffentlicht. Dies hat Netzwerkingenieure und Sicherheitsadministratoren dazu veranlasst, ihre Systeme zu überprüfen und festzustellen, ob sie anfällig sind.
Die gepostete Beratung hat es Computerhackern ermöglicht, sich über das Problem zu informieren und den entsprechenden Exploit-Code in das Mirai-Botnet-Infiltrationsmodul aufzunehmen. Zusätzlich wurde der Fehler zum hinzugefügt Shodan Suchmaschine Dadurch kann jeder nach anfälligen Netzwerken und exponierten Netzwerkhosts suchen.
Der Fehler wird standardmäßig als kategorisiert Remotecodeausführung Fehler, der in der BIG-IP-Netzwerkimplementierung gefunden wird. Die Schwachstelle ist Teil der Verwaltungsoberfläche der Suite - anscheinend ermöglicht eine Schadensbegrenzungsregel in der Apache-Webserver-Konfigurationsdatei Remoteangreifern, den Dienst auszunutzen. Dies erfolgt durch Einfügen von a Semikolonanforderung über die URL - der Webserver interpretiert dies als Befehl beendet umschalten. All dies bedeutet, dass die Hacker mithilfe einer einfachen URL-Manipulation Befehle an den Remote-Host senden können.
Es ist relativ einfach, funktionierenden Proof-of-Concept-Code in gängigen Programmiersprachen zu erstellen. Dadurch können Malware-Benutzer problemlos Netzwerkprüfungsanforderungen an potenziell anfällige Netzwerke senden. Nach einem Netzwerkscan können auch betroffene Hosts erkannt werden. Von Mirai Botnet betroffene Computer und Netzwerkgeräte wurden bestätigt. Dies zeigt, dass die Hacker bei ihren Angriffen erfolgreich waren - sobald der Fehler erkannt wurde, konnten sie die Zielnetzwerke schnell ausnutzen.
Eine Sicherheitsuntersuchung zeigt, wie sich das Mirai Botnet auf solchen Systemen verhalten hat. Das Botnetz wurde verwendet, um die Systeme auszunutzen, und von da an wurde die folgende Sequenz gestartet:
- Nach dem Eindringen wird das Mirai-Botnetz von Hackern erstellte Dateien auf die gefährdeten Systeme hacken.
- Diese Dateien können in den Host-Netzwerken ausgeführt werden. Abhängig von ihrer Konfiguration können sie Brute-Force-Angriffe gegen Arbeitsdienste starten oder andere Fehler missbrauchen.
- In den meisten Fällen können die Dateien eine Payload-Dropper-Funktion starten, mit der andere Malware auf das Gerät heruntergeladen wird.
- In fast allen Fällen kann die Kontrolle über die gefährdeten Hosts von den Kriminellen mithilfe einer lokalen Engine übernommen werden, die eine Verbindung zu einem von Hackern kontrollierten Server herstellt.
Da viele infizierte Geräte verfügbar sind, wird den Besitzern von Netzwerkgeräten empfohlen Wenden Sie die neuesten Sicherheitspatches und Firmware-Upgrades an um ihre Systeme zu schützen. Der Zugriff auf sensible Dienste über das Internet kann über die Implementierung von verhindert werden VPN-Dienste. Wie immer wird empfohlen, den Sicherheitsstatus jederzeit zu überwachen.