Confira !
Uma nova versão do infame Miranet botnet está explorando uma vulnerabilidade crítica recentemente descoberta em dispositivos NAS (Network-Attached Storage), na tentativa de infectar e controlar remotamente máquinas vulneráveis.
Chamada de " Mukashi " , a nova variante do malware emprega ataques de força bruta usando diferentes combinações de credenciais padrão para fazer login nos produtos de firewall Zyxel NAS, UTM, ATP e VPN para controlar os dispositivos e adicioná-los a uma rede de infectados bots que podem ser usados para realizar ataques DDoS (Distributed Denial of Service).
Vários produtos NAS da Zyxel que executam versões de firmware de até 5,21 estão vulneráveis ao comprometimento, afirmou a equipe de inteligência global de ameaças da Unidade 42 da Palo Alto Networks, acrescentando que descobriram a primeira exploração dessa falha na natureza em 12 de março.
Falha na injeção de comando de pré-autenticação da Zyxel
O Mukashi depende de uma vulnerabilidade de injeção de comando de pré-autenticação (rastreada como CVE-2020-9054 ), para a qual uma prova de conceito foi disponibilizada publicamente apenas no mês passado. A falha reside em um programa "weblogin.cgi" usado pelos dispositivos Zyxel, permitindo assim que os invasores executem a execução remota de código via injeção de comando.
"O executável weblogin.cgi não limpa adequadamente o parâmetro de nome de usuário durante a autenticação. O invasor pode usar uma aspas simples (') para fechar a string e um ponto-e-vírgula (;) para concaturar comandos arbitrários para obter a injeção de comandos", de acordo com a Unidade 42 pesquisadores. "Como o weblogin.cgi aceita solicitações HTTP GET e POST, o invasor pode incorporar a carga maliciosa em uma dessas solicitações HTTP e obter a execução do código".
A Zyxel emitiu um patch para a vulnerabilidade no mês passado, depois que surgiu que instruções precisas para explorar a falha estavam sendo vendidas em fóruns clandestinos de crimes cibernéticos por US $ 20.000 para uso contra alvos. Mas a atualização não soluciona a falha em muitos dispositivos antigos não suportados.
Como solução alternativa, a fabricante de equipamentos de rede com sede em Taiwan pediu aos usuários dos modelos afetados que não deixassem os produtos diretamente expostos à Internet e os conectassem a um roteador ou firewall de segurança para proteção adicional.
Mukashi segmenta dispositivos NAS Zyxel.
Assim como outras variantes da Mirai, o Mukashi opera varrendo a Internet em busca de dispositivos vulneráveis de IoT, como roteadores, dispositivos NAS, câmeras de segurança e gravadores de vídeo digital (DVRs), procurando por hosts em potencial protegidos apenas por credenciais padrão de fábrica ou comumente usadas senhas para cooptá-las na botnet.
Se um logon de força bruta for bem-sucedido, Mukashi não apenas relata a tentativa de logon em um servidor de comando e controle (C2) controlado por invasor remoto, mas também aguarda mais comandos para iniciar ataques DDoS.
"Quando é executado, o Mukashi imprime a mensagem 'Protegendo seu dispositivo contra novas infecções.' para o console ", disseram os pesquisadores da Unit42. "O malware passa a mudar o nome do processo para dvrhelper, sugerindo que Mukashi pode herdar certas características do seu antecessor".
História dos ataques DDoS da Mirai
A botnet Mirai , desde sua descoberta em 2016, foi vinculada a uma série de ataques DDoS em larga escala, incluindo um contra o provedor de serviços DNS Dyn em outubro de 2016, fazendo com que as principais plataformas e serviços da Internet permaneçam inacessíveis para usuários na Europa e América do Norte .
Desde então, surgiram inúmeras variantes do Mirai , em parte devido à disponibilidade de seu código-fonte na Internet desde 2016.
É recomendável que todos os consumidores da Zyxel baixem a atualização de firmware para proteger os dispositivos dos sequestros de Mukashi. A atualização de credenciais padrão com senhas de login complexas também pode ajudar bastante a impedir ataques de força bruta.
A lista completa dos produtos Zyxel afetados pela falha édisponível aqui . Você também pode testar se um dispositivo NAS Zyxel está vulnerável aqui .
Até a próxima !!
Nenhum comentário:
Postar um comentário