Accueil > Nouvelles Cyber > Mirai New Variant Uses Port 23, Port 2323 et CVE-2016-10401
CYBER NOUVELLES

Mirai nouvelle variante utilise le port 23, Port 2323 et CVE-2016-10401

Une nouvelle variante de Mirai juste avant Noël? Sûr, pourquoi pas!

Qihoo 360 chercheurs Netlab seulement témoigné nouvelle légère hausse tandis que l'activité de botnet de suivi associé à une nouvelle variante du logiciel malveillant Mirai IdO bien connu. Les utilisateurs doivent savoir que les ports 23 et 2323 sur les appareils IdO fabriqués par ZyXEL Communications sont ciblées. Les dispositifs sont connus pour être à l'aide admin par défaut / CentryL1nk et les informations d'identification telnet admin / Qwestm0dem, Les chercheurs ont rapporté.

histoire connexes: Mirai Botnet Takes Over Bas 900K Devices IdO En Allemagne

Sur 60 il y a des heures, depuis 2017-11-22 11:00, nous avons remarqué de gros upticks sur le port 2323 et 23 trafic scan, avec presque 100K IP du scanner unique, est venu de l'Argentine. après enquête, nous sommes tout à fait confiants pour dire que c'est une nouvelle variante Mirai.

L'équipe de recherche a observé deux nouvelles lettres de créance – admin / CentryL1nk et admin / QwestM0dem - dans leur trafic honeypot. Apparemment, les deux ports sont actuellement utilisés de manière active. Il convient de noter que des titres de compétences administrateur / CentryL1nk a été apparu dans un exploit au sujet de modem ZyXEL PK5001Z dans db-exploit il y a moins d'un mois.

Mirai a émergé l'année dernière quand il a commencé à se répandre et affectant les appareils IdO les accès par mot de passe par défaut et les noms d'utilisateur. les dispositifs concernés ont été inclus dans un botnet qui a été déployé pour des attaques par déni de service (DDoS). fournisseur de DNS Dyn a été l'un des plus grandes victimes menant à des attaques sur les plates-formes populaires comme Twitter et Netflix.

En Février de cette année, le botnet a même été équipé d'une variante de Windows, Trojan.Mirai.1, tel que révélé par les chercheurs en sécurité au Dr. toile. La nouvelle variante ciblée Windows et pourrait compromettre plus de ports que son homologue Linux. Trojan.Mirai.1 infectait aussi des dispositifs IdO et mener des attaques DDoS, comme avec la version Linux.

histoire connexes: Trojan.Mirai.1: Le Mirai DDoS Botnet Goes de Windows

Comme mentionné déjà, les attaques actuelles profitent de deux nouvelles lettres de créance (admin / CentryL1nk et admin / QwestM0dem). Apparemment, piratage automatisés avec succès le processus d'abattage dans des dispositifs ZyXEL via les informations d'identification telnet. Une vulnérabilité difficile superuser code distinct identifié comme CVE-2016-10401 a également été mis à profit pour obtenir les privilèges root sur les périphériques ciblés.

Détails sur CVE-2016-10401

appareils ZyXEL PK5001Z ont zyad5001 su que le mot de passe, ce qui le rend plus facile pour les attaquants distants afin d'obtenir un accès root si un mot de passe de compte non root est connu (ou un compte par défaut non root existe dans le déploiement d'un fournisseur d'accès de ces appareils).

Les chercheurs ont observé une tendance gênante impliquant des attaquants exploiteuses activement publiquement divulgué des détails de cet exploit depuis qu'il a été publié en Octobre.

Qihoo 360 les chercheurs ont rapporté que l'exploitation des deux lettres de créance mentionnées ci-dessus a commencé en Novembre 22. L'équipe a détecté que la plupart du scanner le trafic IP est venu d'Argentine avec environ 65.7 mille scanners uniques en moins d'un jour.

Ce n'est pas la première fois ZyXEL vitesse est compromis

Il ya plusieurs mois, chercheur Stefan Viehbock a rapporté que les routeurs WiMAX créés par ZyXEL étaient sensibles à un by-pass d'authentification qui pourrait permettre à un acteur malveillant de modifier le mot de passe de l'utilisateur admin, obtenir l'accès au dispositif cible ou même le réseau lui-même.

Un autre chercheur, Pedro Ribeiro, est venu dans les comptes d'administration accessibles et les défauts d'injection de commande dans les routeurs fabriqués par ZyXEL et distribué par TrueOnline, ou la plus grande entreprise à large bande en Thaïlande.

Comment protéger vos appareils IdO – quelques conseils utiles

Il y a plusieurs lignes directrices que tous les propriétaires d'appareils IdO devraient suivre pour protéger leurs réseaux contre les intrusions et les hôtes malveillants et d'autres menaces à la sécurité. Ces mesures ne nécessitent pas de grandes quantités de temps qui est souvent élevé comme raison de ne pas employer toutes les mesures. En fonction de l'environnement, il peut y avoir des différences dans l'ampleur des changements de configuration. Cependant, nous vous donnons les conseils plus généraux qui doivent assurer la sécurité adéquate contre la plupart des menaces.

  • Réduire au minimum réseau non-critique d'exposition - C'est en fait l'une des façons les plus simples pour réduire au minimum les attaques de pirates. C'est aussi l'une des mesures les plus simples que les propriétaires de l'appareil peuvent mettre en œuvre. Cette politique exige que toutes les fonctions inutilisées et des services que l'utilisateur ne pas utiliser doivent être éteints. Si l'appareil est un non-critique (services importants ne dépendent pas de ce) il peut également être mis hors tension lorsqu'ils ne sont pas en cours d'utilisation. Une bonne configuration de pare-feu qui empêche l'accès administrateur des réseaux externes peut protéger contre les attaques de force brute. Les dispositifs qui remplissent des fonctions importantes peuvent être segmentés dans une autre zone du travail primaire ou réseau domestique.
  • Une installation approfondie - De nombreuses attaques d'intrusion sont effectuées en utilisant deux méthodes populaires - la force brute et les attaques par dictionnaire. Ils agissent contre les mécanismes d'authentification des appareils. Les administrateurs système peuvent appliquer une politique de mot de passe fort et des mesures qui défendent contre les attaques par force brute en ajoutant des systèmes de détection d'intrusion. L'utilisation de protocoles sécurisés est aussi une bonne idée - VPN et SSH avec une configuration de sécurité appropriée.
  • Mises à jour de sécurité - Ne pas fournir des mises à jour de sécurité aux appareils appartenant est probablement l'un des plus grands problèmes qui mènent à des attaques d'intrusion. Il est important d'effectuer des mises à jour régulières, cliquez pour en savoir plus.
  • Mettre en œuvre des mesures de sécurité supplémentaires - Lorsque les appareils IdO sont utilisés dans un environnement d'entreprise ou à la production, il existe plusieurs façons de renforcer la sécurité. Ceux-ci comprennent des tests de pénétration, proactive des méthodes de gestion et d'analyse réseau.
histoire connexes: Conseils de sécurité pour les périphériques IdO Configuration
Milena Dimitrova

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

2 Commentaires
  1. avatarchris

    bien expliqué. Merci de remarquer CVE-2016-10401. Très utile pour ma thèse. Bonjour de Russie :)

    Répondre
    1. Milena DimitrovaMilena Dimitrova (Auteur de l'article)

      Nous sommes heureux de l'aide!

      Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...