Palo Alto Networks的专家发现,Mirai和Hoaxcalls僵尸网络针对的是旧版Symantec Web Gateway中的漏洞。
Palo Alto网络部门42的研究人员观察到Mirai和Hoaxcalls僵尸网络都利用了旧版Symantec Web Gateways 5.0.2.8中的身份验证后远程执行代码漏洞的利用。
“最近,我遇到了新的Hoaxcalls和Mirai僵尸网络活动,这些活动针对Symantec Secure Web Gateway 5.0.2.8中的身份验证后远程执行代码漏洞,该产品于2015年到期(EOL),支持生命(EOSL)在2019年。” 读取Palo Alto Networks发布的分析。“目前尚无证据支持任何其他固件版本易受攻击,这些发现已与赛门铁克共享。”
赛门铁克指出,该缺陷已在Symantec Web Gateway 5.2.8中修复,并且不会影响ProxySG和Web安全服务等安全Web Gateway解决方案。
专家于2020年4月24日首次观察到野外漏洞的利用,这是4月初首次发现的Hoaxcalls僵尸网络演变的一部分。该僵尸网络从Tsunami和Gafgyt 僵尸网络中借用了代码 ,它扩展了目标设备的列表并添加了新的分布式拒绝服务(DDoS)功能。
在Hoaxcalls运营商背后的僵尸网络使用的开发几天后开始公布的漏洞细节。
在5月的第一周,专家们还发现了使用相同漏洞的Mirai变体,但是该示例不包含任何DDoS功能。
“它们用于通过凭证暴力进行传播以及利用Symantec Secure Web Gateway RCE漏洞的目的。此博客文章提供了这两个活动的任何值得注意的技术细节。” 继续报告。
根据第42单元,Mirai和Hoaxcalls僵尸网络均使用旨在发现和感染易受攻击设备的有效载荷。对于Mirai,该僵尸程序可以通过凭证暴力破解或对Symantec Web Gateways漏洞的利用进行传播。
专家指出,此漏洞仅对经过身份验证的会话有效,受影响的设备为2012年起的生命周期终止(EOL)。
“对于这两个活动,可以认为它们利用此漏洞的成功受到Symantec Secure Web Gateway RCE漏洞的身份验证后特性的限制。” Palo Alto Networks总结。
Palo Alto Networks发布的报告包含有关僵尸网络的技术详细信息,包括危害指标(IoC)
*编译:Domino
*来自:securityaffairs