.jpg)
新僵尸网络的作者针对受关键级别漏洞影响的已连接设备,其中一些设备会影响网络安全设备。
这些攻击仍处于活动状态,并使用公开可用的漏洞,有时仅在发布几小时后出现。到目前为止,已经利用了至少十个漏洞的漏洞利用代码,最新的漏洞是在周末添加的。
利用旧的和最近的错误
成功入侵的设备最终会出现针对设备架构的Mirai僵尸网络恶意软件变体。
2月中旬,Palo Alto Networks的Unit 42的安全研究人员发现了来自该僵尸网络的攻击,并开始跟踪其活动。
僵尸网络运营商花了大约一个月的时间来整合针对各种目标的十个漏洞的利用程序,其中许多至关重要。
其中包括VisualDoor,该漏洞是SonicWall SSL-VPN设备中一个远程命令注入漏洞的利用,制造商称这些漏洞已在几年前修复。
这些攻击中利用了更多新的漏洞,例如CVE-2021-22502,这是Vertica的Micro Focus Operation Bridge Reporter(OBR)产品中的远程代码执行错误。
OBR使用大数据技术根据其他企业软件中的数据创建性能报告。
这个基于Mirai的僵尸网络的运营商发动的攻击所利用的其他两个严重程度漏洞是CVE-2021-27561和CVE-2021-27562,它们影响了Yealink设备管理。
独立安全研究人员Pierre Kim和Alexandre Torres通过SSD安全披露计划报告了这些缺陷。可在此处进行技术分析。
它们源于用户提供的数据未正确过滤,并允许未经身份验证的攻击者以root权限在服务器上运行任意命令。
研究人员说,由于目标仍然未知,攻击者利用的三个漏洞尚未确定。以下是这些攻击中利用的缺陷列表:
| ID | 脆弱性 | 描述 | 严重程度 |
| 1 | VisualDoor | SonicWall SSL-VPN远程命令注入漏洞 | 严重 |
| 2 | CVE-2020-25506 | D-Link DNS-320防火墙远程命令执行漏洞 | 严重等级9.8 / 10 |
| 3 | CVE-2021-27561和CVE-2021-27562 | Yealink设备管理预认证“根”级远程执行代码漏洞 | 严重 |
| 4 | CVE-2021-22502 | Micro Focus Operation Bridge Reporter(OBR)中的远程执行代码漏洞,影响版本10.40 | 严重等级9.8 / 10 |
| 5 | CVE-2019-19356 | 类似于Netis WF2419无线路由器远程执行代码漏洞 | 高危程度7.5 / 10 |
| 6 | CVE-2020-26919 | Netgear ProSAFE Plus未经认证的远程执行代码漏洞 | 严重等级9.8 / 10 |
| 7 | 身份不明 | 针对未知目标的远程命令执行漏洞 | 未知 |
| 8 | 身份不明 | 针对未知目标的远程命令执行漏洞 | 未知 |
| 9 | 未知漏洞 | Moobot过去使用的漏洞,尽管确切的目标仍然未知 | 未知 |
在成功组成设备之后,攻击者丢弃了各种二进制文件,这些二进制文件可让他们调度作业,创建过滤器规则,运行暴力攻击或传播僵尸网络恶意软件:
- lolol.sh:下载并运行特定于体系结构的“暗”二进制文件;它还计划一个作业以重新运行脚本并创建流量规则,以阻止通过SSH,HTTP和telnet的公共端口上的传入连接
- install.sh:安装“ zmap”网络扫描程序,下载GoLang以及用于对“ zmap”发现的IP进行暴力攻击的文件
- nbrute。[arch]:二进制文件,用于蛮力攻击
- combo.txt:带有用于暴力攻击的凭据的文本文件
- dark。[arch]:基于Mirai的二进制文件,用于通过漏洞利用或蛮力传播
*编译:Domino
*来自:bleepingcomputer