Juniper Networks upozorava da se proizvodi Session Smart Router (SSR) sa zadanim lozinkama ciljaju kao dio maliciozne kampanje koja postavlja maliciozni softver Mirai botnet.
Kompanija je saopštila da izdaje upozorenje nakon što je “nekoliko kupaca” prijavilo nenormalno ponašanje na svojim platformama Session Smart Network (SSN) 11. decembra 2024.
“Ovi sistemi su zaraženi malicioznim softverom Mirai i kasnije su korišteni kao izvor DDoS napada na druge uređaje kojima je pristupila njihova mreža”, navodi se . “Svi pogođeni sistemi su koristili zadane lozinke.”
Mirai , čiji je izvorni kod procurio 2016. godine, iznjedrio je nekoliko varijanti tokom godina. Maliciozni softver može skenirati poznate ranjivosti kao i zadane krendicijale kako bi infiltrirao uređaje i uključio ih u botnet za montiranje distribuiranih napada uskraćivanja usluge (DDoS).
Da bi ublažile takve prijetnje, organizacijama se preporučuje da promijene svoje lozinke s trenutnim učinkom u jake, jedinstvene (ako već nisu), povremeno revidiraju evidenciju pristupa za znakove sumnjivih aktivnosti, koriste firewalls za blokiranje neovlaštenog pristupa i održavaju softver ažuriranim datum.
Neki od indikatora povezanih s Mirai napadima uključuju neobično skeniranje portova, česte pokušaje SSH prijave koji ukazuju na napade grube sile, povećan obim odlaznog prometa na neočekivane IP adrese, nasumična ponovno pokretanje i konekcije sa poznatih malicioznim IP adresa.
“Ako se utvrdi da je sistem zaražen, jedini siguran način zaustavljanja prijetnje je ponovna slika sistema jer se ne može tačno utvrditi šta je moglo biti promijenjeno ili dobijeno od uređaja”, kažu iz kompanije.
Razvoj dolazi kada je AhnLab Security Intelligence Center (ASEC) otkrio da su loše upravljani Linux serveri, posebno javno izloženi SSH servisi, na meti ranije nedokumentomuvane porodice DDoS malvera nazvane cShell.
“cShell je razvijen u Go jeziku i karakteriše ga iskorištavanje Linux alata koji se zovu screen i hping3 za izvođenje DDoS napada”, rekao je ASEC .
DigiEver greška je iskorištena za distribuciju Mirai botnet varijante
U novom izvještaju objavljenom 19. decembra 2024., Akamai je otkrio da napadači iskorištavaju ranjivost daljinskog izvršavanja koda u DigiEver DS-2105 Pro DVR-ima (bez CVE) za širenje varijante Mirai botneta nazvane ” Hail Cock ” od najmanje oktobra 2024. Procjenjuje se da je botnet bio aktivan mjesec dana prije aktivnosti.
Predmetna ranjivost je opisana kao proizvoljno upisivanje u datoteku nakon autorizacije koja radi u kombinaciji s DVR-ovima koji imaju slabe lozinke. Maliciozni softver instaliran na uređajima nakon toga nastavlja da izvodi Telnet i SSH brute-force napade kako bi proširio veličinu botneta.
Pored eksploatacije DigiEver RCE, primećeno je da je kampanja usmjerena na druge poznate ranjivosti –
- CVE-2023-1389 (CVSS rezultat: 8,8), ranjivost ubrizgavanja komande koja utiče na TP-Link rutere
- CVE-2018-17532 (CVSS rezultat: 9,8), višestruke ranjivosti ubrizgavanja komandi operativnog sistema bez autentifikacije u Teltonika RUT9XX ruterima
“Cyber-kriminalci su konzistentno koristili naslijeđe malicioznog softvera Mirai kako bi ovjekovječili botnet kampanje godinama, a novi botnet Hail Cock nije izuzetak”, rekli su Akamai istraživači Kyle Lefton, Daniel Messing i Larry Cashdollar . “Jedan od najlakših metoda da akteri prijetnji kompromituju nove hostove je da ciljaju zastarjeli firmver ili penzionisani hardver.”
“DigiEver DS-2105 Pro, koji je sada star otprilike 10 godina, je primjer. Proizvođači hardvera ne izdaju uvijek zakrpe za penzionisane uređaje, a sam proizvođač ponekad može biti neaktivan.”
Izvor:The Hacker News
