Специалисты обнаружили новый ботнет на базе Mirai, который активно использует уязвимости удаленного выполнения кода (RCE) в сетевых видеорегистраторах модели DigiEver DS-2105 Pro и маршрутизаторах TP-Link с устаревшей прошивкой. Кампания, стартовавшая в октябре текущего года, позволяет злоумышленникам контролировать уязвимые устройства, используя их в распределенных атаках типа «отказ в обслуживании» (DDoS). Ожидается, что ботнет также направлен на другие модели маршрутизаторов, в частности Teltonika RUT9XX.
Одной из ключевых уязвимостей, которые начали использовать хакеры, был описан исследователем из компании TXOne Та-Луном Йеном на конференции DefCamp в прошлом году. Исследования показывают, что уязвимость затрагивает несколько моделей DVR и позволяет неаутентифицированным пользователям вводить команды через некорректно обработанные данные в URI ‘/cgi-bin/cgi_main.cgi’, что увеличивает риск атаки. Эта уязвимость, как и другие, такие как CVE-2023-1389 для TP-Link и CVE-2018-17532 для маршрутизаторов Teltonika, остается неподконтрольной после обнаружения.
Ранее Министерство торговли США выразило обеспокоенность по поводу безопасности маршрутизаторов TP-Link, что может привести к запрету на их использование в стране. Начало расследования в отношении TP-Link было объявлено Минобороны США в начале 2024 года. Агентства собираются проанализировать уязвимости, которые могут быть использованы злоумышленниками для атак на внутренние системы.
Атаки ботнета Mirai вызывают особую тревогу среди исследователей, так как они имеют схожесть с ранее выявленными вектором атак. По данным компании Akamai, новый вариант Mirai использует современные методы, такие как шифрование XOR и ChaCha20, что увеличивает сложность его выявления. К тому же ботнет нацелен на различные архитектуры, включая x86, ARM и MIPS.
Также стоит отметить, что исследователи выделили механизмы, с помощью которых ботнет может устанавливать бинарные файлы малвари на скомпрометированные устройства через инъекции команд. Это позволяет им создавать cron-задания, обеспечивая устойчивое присутствие вредоносного ПО на атакуемых устройствах. Учитывая угрозу DDoS-атак, возможность распространения через наборы эксплоитов и списки учетных записей, исследователи подчеркивают важность обновлений программного обеспечения для повышения защиты от таких уязвимостей.