Le Mirai Botnet cible désormais une faille dans l'implémentation BIG-IP, menant à la production de l'avis CVE-2020-5902. Cette faille de sécurité a été identifiée au cours de la première semaine de juillet 2020 et a été identifié comme étant un bogue critique.
Implémentation BIG-IP défectueuse: Avis CVE-2020-5902 émis: Ciblé par le botnet Mirai
Le botnet Mirai est activement utilisé pour s'immiscer dans les appliances et les hôtes réseau qui ont été identifiés pour tomber dans le Vulnérabilité CVE-2020-5902. Il s'agit d'un avis récent qui est suivi par la communauté de sécurité et qui a ensuite été mis en œuvre par des pirates informatiques dans le botnet Mirai. La divulgation initiale du problème a été publiée la première semaine de juillet de cette année - cela a incité les ingénieurs réseau et les administrateurs de sécurité à auditer leurs systèmes et à voir s'ils sont vulnérables..
La avis publié a permis aux pirates informatiques d'acquérir des connaissances sur le problème et d'inclure le code d'exploitation pertinent dans le module d'infiltration du botnet Mirai. De plus, la faille a été ajoutée au Moteur de recherche Shodan qui permet à quiconque de rechercher les réseaux vulnérables et les hôtes réseau exposés.
De par sa conception, le bogue est classé comme un exécution de code distant faille qui se trouve dans l'implémentation du réseau BIG-IP. La faiblesse fait partie de l'interface de gestion de la suite - apparemment une règle d'atténuation dans le fichier de configuration du serveur Web Apache permet aux attaquants distants d'exploiter le service. Cela se fait en insérant un demande de point-virgule via l'URL - le serveur Web l'interprétera comme un la commande a fini de basculer. Tout cela signifie qu'en utilisant une simple manipulation d'URL, les pirates peuvent envoyer des commandes à l'hôte distant.
Il est relativement simple de créer un code de validation de principe fonctionnel dans les langages de programmation courants - cela permet aux utilisateurs de logiciels malveillants d'envoyer facilement des requêtes de sonde réseau à des réseaux potentiellement vulnérables. Après une analyse du réseau, les hôtes affectés peuvent également être découverts. Les ordinateurs et périphériques réseau affectés par le botnet Mirai ont été confirmés. Cela montre que les pirates ont réussi leurs attaques - dès que la faille a été identifiée, ils ont rapidement exploité les réseaux cibles.
Une enquête de sécurité révèle comment le Mirai Botnet s'est comporté sur de tels systèmes. Le botnet a été utilisé pour exploiter les systèmes et à partir de là, la séquence suivante a été lancée:
- Suite à l'intrusion, le botnet Mirai mettra des fichiers créés par des hackers sur les systèmes compromis.
- Ces fichiers peuvent être commandés pour s'exécuter sur les réseaux hôtes et, en fonction de leur configuration, ils peuvent lancer des attaques par force brute contre des services en fonctionnement ou abuser d'autres failles..
- Dans la plupart des cas, les fichiers peuvent lancer une fonction de compte-gouttes qui téléchargera d'autres logiciels malveillants sur l'appareil.
- Dans presque tous les cas, les hôtes compromis peuvent voir leur contrôle dépassé par les criminels à l'aide d'un moteur local qui se connectera à un serveur contrôlé par un pirate informatique..
Comme il existe de nombreux périphériques infectés disponibles, les propriétaires de périphériques réseau sont invités à appliquer les derniers correctifs de sécurité et mises à niveau du micrologiciel afin de protéger leurs systèmes. La prévention de l'accès aux services sensibles à partir d'Internet peut se faire via la mise en œuvre de services VPN. Comme toujours, une surveillance de l'état de la sécurité à tout moment est recommandée.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: