一个新的基于 Mirai 的僵尸网络正在积极利用 DigiEver DS-2105 Pro NVR 中的一个远程代码执行漏洞,该漏洞尚未获得跟踪器编号,似乎也未打补丁。 该活动始于 10 月份,目标是多个固件过时的网络视频录像机和 TP-Link 路由器。 TXOne 研究人员 Ta-Lun Yen 记录了该活动中使用的一个漏洞,并在去年罗马尼亚布加勒斯特举行的 DefCamp 安全会议上进行了展示。该研究员当时表示,该问题影响了多个 DVR 设备。
据Akamai研究人员观察,僵尸网络从11月中旬开始利用该漏洞,但发现有证据表明,该活动至少从9月份就开始活跃。 除DigiEver漏洞外,新的Mirai恶意软件变种还针对TP-Link设备上的CVE-2023-1389和Teltonika RUT9XX路由器上的CVE-2018-17532。
攻击 DigiEver NVR 利用 DigiEver NVR 的漏洞是一个远程代码执行(RCE)漏洞,黑客的目标是"/cgi-bin/cgi_main.cgi" URI,该URI 未正确验证用户输入。 这允许未经身份验证的远程攻击者通过某些参数(如 HTTP POST 请求中的 ntp 字段)注入 "curl "和 "chmod "等命令。
Akamai表示,它所看到的这种基于Mirai的僵尸网络的攻击似乎与Ta-Lun Yen的演讲中所描述的类似。 通过命令注入,攻击者从外部服务器获取恶意软件二进制文件,并将设备加入其僵尸网络。 一旦设备被入侵,攻击者就会利用漏洞集和凭证列表对设备进行分布式拒绝服务(DDoS)攻击或向其他设备传播。
Akamai表示,新的Mirai变种的显著特点是它使用了XOR和ChaCha20加密技术,并以x86、ARM和MIPS等多种系统架构为目标。"虽然采用复杂的解密方法并不是什么新鲜事,但这表明基于Mirai的僵尸网络运营商的战术、技术和程序在不断演变,"Akamai评论道。
"研究人员说:"这一点最值得注意,因为许多基于 Mirai 的僵尸网络仍然依赖于原始 Mirai 恶意软件源代码发布时包含的回收代码中的原始字符串混淆逻辑。
研究人员指出,该僵尸网络还利用了Teltonika RUT9XX路由器中的CVE-2018-17532漏洞以及影响TP-Link设备的CVE-2023-1389漏洞。 Akamai报告的末尾提供了与该活动相关的入侵指标(IoC),以及用于检测和阻止威胁的Yara规则。
信息来源:https://www.bleepingcomputer.com/news/security/new-botnet-exploits-vulnerabilities-in-nvrs-tp-link-routers/