Ботнет Mootbot нацелен на оптоволоконные
маршрутизаторы с двумя Zero-Days
Исследователи видели несколько бот-сетей IoT, использующих одну из ошибок в
сети, после того, как в марте была опубликована проверка концепции.
Ботнет Mootbot использует пару эксплойтов нулевого дня для взлома
нескольких типов оптоволоконных маршрутизаторов. По словам исследователей,
другие ботнеты пытались сделать то же самое, но пока потерпели неудачу. По
словам исследователей, в конце февраля операторы ботнета Mootbot начали использовать
ошибку нулевого дня, обнаруженную в девяти различных типах оптоволоконных
маршрутизаторов, используемых для предоставления доступа в интернет и Wi-Fi для дома и бизнеса (включая Netlink GPON).
Недостатком является ошибка
удаленного выполнения кода с публичным доказательством Использование концепта (PoC) - для его успешного использования
для взлома целевого маршрутизатора он должен быть связан со второй уязвимостью.
«Вероятно, большинство поставщиков являются OEM-продуктами того же самого
исходного поставщика», - пояснила фирма в своем недавнем
сообщении. Однако мсследователи заявили, что не сообщат ни
имя первоначального поставщика, ни сведения о второй ошибке, потому что
поставщик сообщил охранной фирме, что не считает эту ошибку жизнеспособной.
«17 марта мы подтвердили, что эксплойт был
0-дневным, и сообщили результат в CNCERT», - говорится в анализе. «Мы также связались с
поставщиком, но нам сказали, что эта проблема не должна возникать, потому что
конфигурация устройства по умолчанию не должна иметь эту проблему (реальность
другая). Так что они не возьмут это дело у нас.
Несмотря на эту первоначальную оценку, код ошибки
для PoC
появился на ExploitDB
днем позже. И на следующий день после этого, 19 марта, фирма видела атаки в
сети, используя PoC,
чтобы попытаться распространить ботнет Gafgyt. Спустя несколько дней ботнет
принял PoC
как часть попытки перехода от маршрутизатора к маршрутизатору. Между тем, 24
марта с помощью PoC
возникла очередная волна попыток эксплойтов, на этот раз пытаясь распространить
бот-сеть Fbot. «PoC выдвигает важнейшую предпосылку - необходимо
использовать еще одну уязвимость вместе с этим, чтобы она заработала», -
объяснили исследователи. «Таким образом, успешное выполнение введенных команд
не поставит под угрозу целевое устройство».
Moobot
- это новое семейство ботнетов на основе ботнета
Mirai,
предназначенное для устройств Интернета
вещей (IoT).В
то время как большинство бот-сетей IoT используют механизмы, которые могут иметь слабые
пароли или пароли по умолчанию, Mootbot
выделяется своим использованием эксплойтов нулевого дня, считают исследователи.
Стоит отметить, что вредоносное ПО было также замечено
в марте с использованием нескольких нулевых дней для
нацеливания на DVR
и IP-камеры
LILIN.
Хотя он не раскрывает детали второго фактора успеха
в цепочке убийств, тестеры рекомендует, чтобы для защиты от этой угрозы
пользователям с волоконно-оптическими
маршрутизаторами доступа в Интернет следует проверять и
обновлять микропрограмму своего устройства, а также проверять наличие учетных
записей по умолчанию, которые следует отключить.
Джек Маннино, генеральный директор nVisium, заявил, что акцент на
маршрутизаторах дает злоумышленникам определенные преимущества. «Управление
сетевой инфраструктурой всегда будет привлекательной целью для злоумышленников,
поскольку она обеспечивает трамплин для запуска будущих атак», - сказал он.
«Как разработчику программного обеспечения важно
учитывать, что сети, в которых ваши пользователи получают доступ к вашему
продукту, могут быть скомпрометированы, и встроить это в ваши модели угроз. Будь
то уровень доступа, который он предоставляет к сетевому трафику, или узкие
места и усилители для DDoS-атак,
которые они представляют, предыдущие бот-сети, такие как Mirai, дали нам представление о том,
чего могут достичь эти кампании. Больше исправлений сосредотачивается на своих
исправлениях Вторника исправлений, чем обновляя устройства, которые они часто
выставляют непосредственно в Интернет.»
Комментариев нет:
Отправить комментарий