Het Mirai Botnet mikt nu op een fout in de BIG-IP-implementatie, leidend tot de productie van het advies CVE-2020-5902. Dit beveiligingslek werd in de eerste week van juli geïdentificeerd 2020 en is geïdentificeerd als een kritieke bug.
BIG-IP-implementatie gebrekkig: CVE-2020-5902 Advies verleend: Gericht door het Mirai-botnet
Het Mirai-botnet wordt actief gebruikt om binnen te dringen in netwerkapparatuur en hosts waarvan is vastgesteld dat ze vallen onder de CVE-2020-5902-kwetsbaarheid. Dit is een recent advies dat wordt gevolgd door de beveiligingsgemeenschap en vervolgens is geïmplementeerd door hackers in het Mirai-botnet. De eerste onthulling over het probleem werd in de eerste week van juli van dit jaar gepost - dit heeft netwerkingenieurs en beveiligingsbeheerders ertoe aangezet om hun systemen te controleren en te kijken of ze kwetsbaar zijn.
Het adviserend geplaatst heeft computerhackers in staat gesteld kennis over het probleem op te doen en de relevante exploitcode op te nemen in de Mirai-botnetinfiltratiemodule. Daarnaast is de fout toegevoegd aan de Shodan zoekmachine waarmee iedereen kan scannen op kwetsbare netwerken en blootgestelde netwerkhosts.
Door het ontwerp is de bug gecategoriseerd als een uitvoering van externe code fout die wordt gevonden in de implementatie van het BIG-IP-netwerk. De zwakte maakt deel uit van de beheerinterface van de suite - blijkbaar stelt een beperkende regel in het Apache-webserverconfiguratiebestand externe aanvallers in staat de service te misbruiken. Dit wordt gedaan door een puntkomma verzoek via de URL - de webserver interpreteert dit als een commando klaar wisselen. Dit alles betekent dat de hackers door middel van een eenvoudige URL-manipulatie opdrachten kunnen geven aan de externe host.
Het is relatief eenvoudig om werkende proof-of-concept-code te maken in populaire programmeertalen - dit stelt malwaregebruikers in staat om eenvoudig netwerk-sonderingsverzoeken naar potentieel kwetsbare netwerken te verzenden. Na een netwerkscan kunnen ook getroffen hosts worden ontdekt. Mirai-botnet-getroffen computers en netwerkapparaten zijn bevestigd. Dit toont aan dat de hackers succesvol zijn geweest in hun aanvallen - zodra de fout werd vastgesteld, konden ze snel de doelnetwerken exploiteren.
Een veiligheidsonderzoek laat zien hoe het Mirai Botnet zich op dergelijke systemen heeft gedragen. Het botnet werd gebruikt om de systemen te exploiteren en van daaruit is de volgende reeks gestart:
- Na de inbraak zal het Mirai-botnet door hackers gemaakte bestanden op de besmette systemen hacken.
- Deze bestanden kunnen worden opgedragen om op de hostnetwerken te draaien en afhankelijk van hun configuratie kunnen ze brute-force-aanvallen op werkende services starten of andere gebreken misbruiken.
- In de meeste gevallen kunnen de bestanden een payload-dropperfunctie starten die andere malware naar het apparaat downloadt.
- In bijna alle gevallen kan de controle van de gehackte hosts worden overgenomen door de criminelen met behulp van een lokale engine die verbinding maakt met een door een hacker bestuurde server.
Aangezien er veel geïnfecteerde apparaten beschikbaar zijn, wordt aangeraden dat eigenaren van netwerkapparaten de nieuwste beveiligingspatches en firmware-upgrades toepassen om hun systemen te bewaken. Voorkomen dat gevoelige diensten vanaf het internet worden benaderd, kan worden gedaan door de implementatie van VPN-diensten. Zoals altijd wordt bewaking van de beveiligingsstatus aanbevolen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: