FERRAMENTAS LINUX: Mukashi: Uma nova variante da Mirai IoT Botnet visando os dispositivos NAS Zyxel

domingo, 22 de março de 2020

Mukashi: Uma nova variante da Mirai IoT Botnet visando os dispositivos NAS Zyxel




Confira !



Uma nova versão do infame Miranet botnet está explorando uma vulnerabilidade crítica recentemente descoberta em dispositivos NAS (Network-Attached Storage), na tentativa de infectar e controlar remotamente máquinas vulneráveis.

Chamada de " Mukashi " , a nova variante do malware emprega ataques de força bruta usando diferentes combinações de credenciais padrão para fazer login nos produtos de firewall Zyxel NAS, UTM, ATP e VPN para controlar os dispositivos e adicioná-los a uma rede de infectados bots que podem ser usados ​​para realizar ataques DDoS (Distributed Denial of Service).

Vários produtos NAS da Zyxel que executam versões de firmware de até 5,21 estão vulneráveis ​​ao comprometimento, afirmou a equipe de inteligência global de ameaças da Unidade 42 da Palo Alto Networks, acrescentando que descobriram a primeira exploração dessa falha na natureza em 12 de março.

Falha na injeção de comando de pré-autenticação da Zyxel

O Mukashi depende de uma vulnerabilidade de injeção de comando de pré-autenticação (rastreada como CVE-2020-9054 ), para a qual uma prova de conceito foi disponibilizada publicamente apenas no mês passado. A falha reside em um programa "weblogin.cgi" usado pelos dispositivos Zyxel, permitindo assim que os invasores executem a execução remota de código via injeção de comando.

"O executável weblogin.cgi não limpa adequadamente o parâmetro de nome de usuário durante a autenticação. O invasor pode usar uma aspas simples (') para fechar a string e um ponto-e-vírgula (;) para concaturar comandos arbitrários para obter a injeção de comandos", de acordo com a Unidade 42 pesquisadores. "Como o weblogin.cgi aceita solicitações HTTP GET e POST, o invasor pode incorporar a carga maliciosa em uma dessas solicitações HTTP e obter a execução do código".



A Zyxel emitiu um patch para a vulnerabilidade no mês passado, depois que surgiu que instruções precisas para explorar a falha estavam sendo vendidas em fóruns clandestinos de crimes cibernéticos por US $ 20.000 para uso contra alvos. Mas a atualização não soluciona a falha em muitos dispositivos antigos não suportados.

Como solução alternativa, a fabricante de equipamentos de rede com sede em Taiwan pediu aos usuários dos modelos afetados que não deixassem os produtos diretamente expostos à Internet e os conectassem a um roteador ou firewall de segurança para proteção adicional.
Mukashi segmenta dispositivos NAS Zyxel.

Assim como outras variantes da Mirai, o Mukashi opera varrendo a Internet em busca de dispositivos vulneráveis ​​de IoT, como roteadores, dispositivos NAS, câmeras de segurança e gravadores de vídeo digital (DVRs), procurando por hosts em potencial protegidos apenas por credenciais padrão de fábrica ou comumente usadas senhas para cooptá-las na botnet.

Se um logon de força bruta for bem-sucedido, Mukashi não apenas relata a tentativa de logon em um servidor de comando e controle (C2) controlado por invasor remoto, mas também aguarda mais comandos para iniciar ataques DDoS.


"Quando é executado, o Mukashi imprime a mensagem 'Protegendo seu dispositivo contra novas infecções.' para o console ", disseram os pesquisadores da Unit42. "O malware passa a mudar o nome do processo para dvrhelper, sugerindo que Mukashi pode herdar certas características do seu antecessor".

História dos ataques DDoS da Mirai

A botnet Mirai , desde sua descoberta em 2016, foi vinculada a uma série de ataques DDoS em larga escala, incluindo um contra o provedor de serviços DNS Dyn em outubro de 2016, fazendo com que as principais plataformas e serviços da Internet permaneçam inacessíveis para usuários na Europa e América do Norte .

Desde então, surgiram inúmeras variantes do Mirai , em parte devido à disponibilidade de seu código-fonte na Internet desde 2016.

É recomendável que todos os consumidores da Zyxel baixem a atualização de firmware para proteger os dispositivos dos sequestros de Mukashi. A atualização de credenciais padrão com senhas de login complexas também pode ajudar bastante a impedir ataques de força bruta.

A lista completa dos produtos Zyxel afetados pela falha édisponível aqui . Você também pode testar se um dispositivo NAS Zyxel está vulnerável aqui .


Até a próxima !!

Nenhum comentário:

Postar um comentário