Mukashi сканирует Сеть на предмет уязвимых IoT-устройств, таких как маршрутизаторы, сетевые хранилища и пр.
https://www.securitylab.ru/upload/ib...345e8407e1.jpg
Специалисты из компании Palo Alto Networks https://unit42.paloaltonetworks.com/...riant-mukashi/новую версию ботнета Mirai, получившую название Mukashi, которая эксплуатирует недавно обнаруженную и исправленную критическую уязвимость ( CVE-2020-9054 ) в сетевых хранилищах (NAS) Zyxel с целью перехватить контроль над целевым устройством и использовать его для осуществления DDoS-атак.
Операторы Mukashi с помощью брутфорс-атак подбирают различные комбинации стандартных учетных данных для авторизации в Zyxel NAS, а также в UTM-, ATP- и VPN- межсетевых экранах.
Проблема затрагивает устройства с версией прошивки 5.21 и ниже. Zyxel выпустила устраняющие уязвимость обновления для четырех моделей (NAS326, NAS520, NAS540 и NAS542), однако десять других моделей (NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 и NSA325v2) больше не поддерживаются производителем и поэтому не получат обновления. Уязвимость получила максимальные 10 баллов по шкале CVSS.
Проблема связана с некорректной обработкой исполняемым файлом weblogin.cgi входных параметров имени пользователя. Благодаря этому злоумышленник может проэксплуатировать уязвимость, включив в имя пользователя определенные символы, и внедрять команды с привилегиями web-сервера. Затем с помощью встроенной утилиты setuid он может запускать команды с привилегиями суперпользователя.
Как и другие варианты Mirai, Mukashi сканирует Сеть на предмет уязвимых IoT-устройств, таких как маршрутизаторы, сетевые хранилища, камеры наблюдения и цифровые видеорегистраторы, которые защищены только заводскими настройками или ненадежными паролями.