O Mirai Botnet agora está mirando uma falha na implementação do BIG-IP, levando à produção do parecer CVE-2020-5902. Essa vulnerabilidade de segurança foi identificada na primeira semana de julho 2020 e foi identificado como um bug crítico.
Implementação de BIG-IP falha: CVE-2020-5902 Comunicado emitido: Segmentado pelo Mirai Botnet
O botnet Mirai está sendo usado ativamente para invadir dispositivos de rede e hosts que foram identificados para cair no Vulnerabilidade CVE-2020-5902. Este é um aviso recente que está sendo rastreado pela comunidade de segurança e posteriormente foi implementado por hackers na botnet Mirai. A divulgação inicial sobre o problema foi publicada na primeira semana de julho deste ano - isso levou os engenheiros de rede e administradores de segurança a auditar seus sistemas e verificar se eles estão vulneráveis.
o aviso publicado permitiu que hackers adquirissem conhecimento sobre o problema e incluíssem o código de exploração relevante no módulo de infiltração de botnet Mirai. Além disso, a falha foi adicionada ao Motor de busca Shodan que permite a qualquer pessoa procurar redes vulneráveis e hosts de rede expostos.
Por design, o bug é classificado como um execução remota de código falha encontrada na implementação da rede BIG-IP. A fraqueza faz parte da interface de gerenciamento do conjunto - aparentemente uma regra de atenuação no arquivo de configuração do servidor web Apache permite que atacantes remotos explorem o serviço. Isso é feito inserindo um pedido de ponto e vírgula via URL - o servidor da Web interpretará isso como um comando terminado alternar. Tudo isso significa que, usando uma simples manipulação de URL, os hackers podem emitir comandos para o host remoto.
É relativamente simples criar código de prova de conceito funcional em linguagens de programação populares - isso permite que usuários de malware enviem facilmente solicitações de análise de rede para redes potencialmente vulneráveis. Após uma verificação de rede, os hosts afetados também podem ser descobertos. Os computadores e dispositivos de rede afetados pela botnet Mirai foram confirmados. Isso mostra que os hackers tiveram sucesso em seus ataques - assim que a falha foi identificada, eles foram rápidos em explorar as redes de destino..
Uma investigação de segurança revela como o Mirai Botnet se comportou em tais sistemas. A botnet foi usada para explorar os sistemas e, a partir daí, a seguinte sequência foi iniciada:
- Após a invasão, a botnet Mirai lançará arquivos criados por hackers nos sistemas comprometidos.
- Esses arquivos podem ser comandados para execução nas redes host e, dependendo de sua configuração, podem iniciar ataques de força bruta contra serviços em funcionamento ou abusar de outras falhas.
- Na maioria dos casos, os arquivos podem iniciar uma função de conta-gotas que fará o download de outros malwares no dispositivo.
- Em quase todos os casos, os hosts comprometidos podem ter seu controle ultrapassado pelos criminosos usando um mecanismo local que se conectará a um servidor controlado por hackers.
Como existem muitos dispositivos infectados, os proprietários de dispositivos de rede disponíveis são aconselhados a aplique os mais recentes patches de segurança e atualizações de firmware para proteger seus sistemas. A prevenção de acesso a serviços confidenciais da Internet pode ser feita através da implementação de Serviços VPN. Como sempre, recomenda-se sempre o monitoramento do status de segurança.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: