Sömürülen güvenlik açıklarının döküntüsü şunları içerir:
• VisualDoor - bu Ocak ayının başlarında ortaya çıkan bir SonicWall SSL-VPN uzaktan komut enjeksiyon güvenlik açığı
• CVE-2020-25506 - bir D-Link DNS-320 güvenlik duvarı uzaktan kod yürütme (RCE) güvenlik açığı
• CVE-2021-27561 ve CVE-2021-27562 - Yealink Cihaz Yönetiminde, kimliği doğrulanmamış bir saldırganın sunucuda kök ayrıcalıklarıyla rastgele komutlar çalıştırmasına izin veren iki güvenlik açığı
• CVE-2021-22502 - Micro Focus Operation Bridge Reporter'da (OBR) 10.40 sürümünü etkileyen bir RCE hatası
• CVE-2019-19356 - Netis WF2419 kablosuz yönlendirici RCE açıklarından yararlanma ve
• CVE-2020-26919 - Netgear ProSAFE Plus RCE güvenlik açığı
Yeni Mirai Varyantı ve ZHtrap Botnet Kötü Amaçlı Yazılımları Vahşi Doğada Ortaya Çıkıyor
VisualDoor açığı, 2015 yılında eski ürünlere 7.5.1.4-43sv ve 8.0.0.4-25sv sürümleriyle yamalanan eski bir SSL-VPN ürün yazılımı güvenlik açığını hedeflemektedir. Doğru bir şekilde yamalı SonicWall cihazlarına karşı geçerli değildir.
Başarılı bir sömürü elde etmek için kullanılan kusurlardan bağımsız olarak, saldırı zinciri, kötü amaçlı yazılım altyapısından bir kabuk komut dosyası indirmek için wget yardımcı programının kullanılmasını içerir ve daha sonra , Linux çalıştıran ağ bağlantılı IoT cihazlarını uzaktan kontrol edilen botlara dönüştüren kötü niyetli bir kötü amaçlı yazılım olan Mirai ikili dosyalarını getirmek için kullanılır. büyük ölçekli ağ saldırılarında bir botnet'in parçası olarak kullanılabilir.Mirai'yi indirmenin yanı sıra, kaba kuvvet saldırılarının zayıf parolalarla savunmasız cihazlara girmesini kolaylaştırmak için yürütülebilir dosyaları alırken ek kabuk komut dosyaları tespit edildi.
Araştırmacı, "IoT alanı, saldırganlar için kolay erişilebilir bir hedef olmaya devam ediyor. Birçok güvenlik açığından yararlanmak çok kolaydır ve bazı durumlarda feci sonuçlara yol açabilir" dedi.
İlgili bir gelişmede, Çinli güvenlik firması Netlab 360'tan araştırmacılar, Matryosh olarak bilinen bir DDoS botnetinden bazı özellikler ödünç alırken, ek kurbanları toplamak için bir bal küpü kullanan ZHtrap adlı yeni bir Mirai tabanlı botnet keşfettiler .
Honeypot'lar, çalışma biçimleri hakkında daha fazla bilgi toplamak için izinsiz giriş girişimlerinden yararlanmak için tipik olarak siber suçlular için bir hedefi taklit ederken, ZHtrap botnet, hedef olarak kullanılan IP adreslerini toplamak için bir tarama IP toplama modülünü entegre ederek benzer bir teknik kullanır.
Bunu, belirlenmiş 23 bağlantı noktasını dinleyerek ve bu bağlantı noktalarına bağlanan IP adreslerini belirleyerek, ardından yükü enjekte etmek için dört güvenlik açığını incelemek için toplanan IP adreslerini kullanarak başarır.
• MVPower DVR Shell kimliği doğrulanmamış RCE
• Netgear DGN1000 Setup.cgi kimliği doğrulanmamış RCE
• Birden çok satıcıyı etkileyen CCTV DVR RCE ve
• Realtek SDK miniigd SOAP komut yürütmesi (CVE2014-8361)
ZHtrap'ın yayılması dört N günlük güvenlik açığı kullanıyor, ana işlev DDoS ve tarama iken bazı arka kapı özelliklerini entegre etmektedir. Zhtrap, virüslü cihazda bir bal küpü kurar ve kurban cihazlar için anlık görüntüler alır ve anlık görüntüye dayalı olarak yeni komutların çalıştırılmasını devre dışı bırakır, böylece cihaz üzerinde münhasırlık elde eder.
Cihazları ele geçirdikten sonra ZHtrap, ek yükleri indirmek ve yürütmek için bir komut ve kontrol sunucusuyla iletişim için Tor'u kullanarak Matryosh botnetinden bir ipucu alır.
Saldırıların 28 Şubat 2021'de başladığını kaydeden araştırmacılar, ZHtrap'ın virüslü cihazları bal küplerine dönüştürme yeteneğinin, daha fazla hedef bulmayı kolaylaştırmak için botnetlerin "ilginç" bir evrimine işaret ettiğini söyledi.Bu Mirai tabanlı botnet'ler, kısmen Mirai'nin kaynak kodunun 2016'dan bu yana internette bulunmasıyla desteklenen ve diğer saldırganların kendi türlerini oluşturmaları için alanı sonuna kadar açan tehdit ortamında ortaya çıkan en son botnetlerdir.
Geçen Mart ayında araştırmacılar , Zyxel ağa bağlı depolama (NAS) cihazlarını bir botnet'e dahil etmek için hedeflediği bulunan " Mukashi " adlı bir Mirai varyantı keşfettiler. Ardından, Ekim 2020'de Avira'nın IoT araştırma ekibi , D-Link DSL-7740C yönlendiricilerine, DOCSIS 3.1 kablosuz ağ geçidi aygıtlarına ve Dell PowerConnect 6224
Anahtarlarına bulaşmak için uzaktan kod yürütme güvenlik açıklarından yararlanan " Katana " adlı Mirai botnet'in başka bir türünü belirledi.