网络杀毒

当前位置:首页  网络安全  网络杀毒

Palo Alto揭露新的Mirai僵尸网络变种病毒

发布时间:2021-03-18浏览次数:444设置

      自2016年开始大举锁定物联网(IoT)设备的殭屍网络病毒Mirai,以往目标多半是针对家用连网设备,像是、监视器等,入侵受害设备的手法也从暴力破解密码,演变成滥用设备的漏洞。而最近2到3年,这个殭屍网络家族目标转向企业运用的物联网设备。
       但最近Palo Alto Networks自2月中旬发现的Mirai攻击行动,黑客先後锁定了9个漏洞,对於不同类型的网络设备发动攻击,当中包含了SonicWall SSL VPN设备、D-Link DNS-320防火墙、Netgear ProSAFE Plus网络交换器、Netis WF2419无线路由器,还有设备管理平台Yealink,以及Micro Focus云端服务自动化维运系统(AIOps)的报告模块Operation Bridge Reporter等,与先前被揭露的Mirai殭屍网络病毒攻击最大的不同点,就是这次攻击者锁定的设备类型非常多维,但每一类却又都只有针对一种厂商或是特定型号的设备下手。
       这起攻击事故Palo Alto最早自2月16日开始,发现新的Mirai变种病毒锁定多种企业连网设备的漏洞下手。这些漏洞存在於SonicWall SSL VPN设备(VisualDoor)、D-Link DNS-320防火墙(CVE-2020-25506)、Netgear ProSAFE Plus网络交换器(CVE-2020-26919)、Netis WF2419无线路由器(CVE-2019-19356)等。此外,还有3个是未知漏洞。
       事隔一周後,Palo Alto於23日看到其中1个IP位址被更新,攻击者搭配设备管理平台Yealink的漏洞CVE-2021-27561、CVE-2021-27562,来下载Mirai恶意程序。但到了3月,他们又发现黑客运用不同的网络设备漏洞进行攻击。3月3日,该公司再度看到此起攻击中的IP位址,三分之一滥用了CVE-2021-22502,这是存在於Micro Focus Operation Bridge Reporter的漏洞。13日,Palo Alto再度看到黑客滥用Netgear ProSAFE Plus网络交换器的漏洞进行攻击。
       Palo Alto指出,截至3月15日,这起攻击行动仍在进行。一旦漏洞滥用成功,攻击者便会试图下载恶意壳层指令码,藉此下载与执行Mirai变种病毒,以及进行暴力破解密码等,他们也呼吁企业要加以防范。

攻击者运用多为重大等级的漏洞

       针对此起攻击行动,该公司提供入侵指针,以及黑客已经滥用的网络设备漏洞信息,以便企业加以防范。其中,值得留意的是,Palo Alto指出黑客目前总共滥用9个漏洞,而且这些漏洞多半是今年发现的新漏洞,有些尚未取得CVE编号,甚至有部分是尚未确定攻击目目标漏洞,而且不少是重大漏洞。

以下是Palo Alto列出此起Mirai变种病毒攻击遭到滥用的漏洞:

1.

VisualDoor

漏洞锁定目标、手法:SonicWall SSL VPN设备命令注入漏洞 影响程度:重大

2.

CVE-2020-25506

漏洞锁定目标、手法:D-Link DNS-320防火墙设备RCE漏洞 影响程度:重大

3.

CVE-2021-27561、CVE-2021-27562

漏洞锁定目标、手法:Yealink设备管理系统的RCE漏洞 影响程度:重大

4.

CVE-2021-22502

漏洞锁定目标、手法:Micro Focus Operation Bridge Reporter的RCE漏洞,存在於该软件10.40版 影响程度:重大

5.

CVE-2019-19356

漏洞锁定目标、手法:Netis WF2419无线路由器的PCE漏洞 影响程度:高

6.

CVE-2020-26919

漏洞锁定目标、手法:Netgear ProSAFE Plus网络交换器的不需身分验证的RCE漏洞 影响程度:重大

7.未确认的RCE漏洞

漏洞锁定目标、手法:RCE漏洞,攻击目标不明 影响程度:N/A

8.未确认的RCE漏洞

漏洞锁定目标、手法:RCE漏洞,攻击目标不明 影响程度:N/A

9.未知漏洞

漏洞锁定目标、手法:曾被另一个殭屍网络病毒Moobot滥用,但确切攻击目标不明 影响程度:N/A


返回原图
/