Mirai Botnet ora punta a un difetto nell'implementazione di BIG-IP, portando alla produzione della consulenza CVE-2020-5902. Questa vulnerabilità di sicurezza è stata identificata nella prima settimana di luglio 2020 ed è stato identificato come un bug critico.
Implementazione BIG-IP difettosa: CVE-2020-5902 Pubblicazione advisory: Mirato a The Mirai Botnet
La botnet Mirai viene attivamente utilizzato per intromettersi in appliance di rete e host che sono stati identificati per ricadere nel file CVE-2020-5902 vulnerabilità. Questo è un recente avviso che viene monitorato dalla comunità della sicurezza e successivamente è stato implementato dagli hacker nella botnet Mirai. L'informativa iniziale sul problema è stata pubblicata nella prima settimana di luglio di quest'anno - questo ha spinto gli ingegneri di rete e gli amministratori della sicurezza a controllare i loro sistemi e vedere se sono vulnerabili.
Il avviso pubblicato ha consentito agli hacker informatici di acquisire conoscenza del problema e di includere il relativo codice di exploit nel modulo di infiltrazione botnet Mirai. Inoltre il difetto è stato aggiunto al Motore di ricerca di Shodan che consente a chiunque di cercare reti vulnerabili e host di rete esposti.
In base alla progettazione, il bug è classificato come a esecuzione di codice remoto difetto riscontrato nell'implementazione della rete BIG-IP. Il punto debole è parte dell'interfaccia di gestione della suite: apparentemente una regola di mitigazione nel file di configurazione del web server Apache consente agli aggressori remoti di sfruttare il servizio. Questo viene fatto inserendo a richiesta punto e virgola tramite l'URL: il server Web lo interpreterà come a comando finito attiva / disattiva. Tutto ciò significa che utilizzando una semplice manipolazione dell'URL gli hacker possono inviare comandi all'host remoto.
È relativamente semplice creare un codice di prova funzionale nei linguaggi di programmazione più diffusi: questo consente agli utenti di malware di inviare facilmente richieste di sondaggi di rete a reti potenzialmente vulnerabili. Dopo una scansione della rete è possibile scoprire anche gli host interessati. I computer e i dispositivi di rete interessati dalla botnet Mirai sono stati confermati. Ciò dimostra che gli hacker hanno avuto successo nei loro attacchi - non appena il difetto è stato identificato sono stati rapidi nello sfruttare le reti di destinazione.
Un'indagine di sicurezza rivela come si è comportata la Mirai Botnet su tali sistemi. La botnet è stata utilizzata per sfruttare i sistemi e da lì è stata avviata la seguente sequenza:
- A seguito dell'intrusione, la botnet Mirai eseguirà l'hacker dei file creati sui sistemi compromessi.
- A questi file può essere comandato l'esecuzione sulle reti host e, a seconda della loro configurazione, possono avviare attacchi di forza bruta contro servizi di lavoro o abusare di altri difetti.
- Nella maggior parte dei casi, i file possono avviare una funzione di rilascio del payload che scaricherà altri malware sul dispositivo.
- In quasi tutti i casi, gli host compromessi possono essere controllati dai criminali tramite un motore locale che si collegherà a un server controllato dagli hacker.
Poiché sono disponibili molti dispositivi infetti, si consiglia ai proprietari dei dispositivi di rete applicare le ultime patch di sicurezza e gli aggiornamenti del firmware al fine di proteggere i loro sistemi. La prevenzione dell'accesso a servizi sensibili da Internet può essere effettuata mediante l'implementazione di servizi VPN. Come sempre si raccomanda il monitoraggio dello stato di sicurezza in ogni momento.