未咬合的Zyxel存储设备加上IOT僵尸网络
在2020年2月2020年2月中未覆盖的Zyxel网络附加存储(NAS)设备中的远程执行漏洞被滥用以通过Mukashi,臭名昭着的Mirai互联网(物联网)僵尸网络的后代感染未被划分的设备。
批评额定脆弱性CVE-2020-9054被认为是相对普遍的利用,并且已经被广泛武器化。尽管Zyxel仍然是通过披露过程的完全负责任地行动,并且对受影响的用户提供修补程序。
Ken Hsu,Zhibin Zhang and Ruchna Nigam Palo Alto Networks的Unit42威胁研究单位一直在监测Mukashi的传播,最初通过销售其利用代码作为零天的销售,据称被一群人使用试图将漏洞折叠到爱情的网络罪犯。
“Mukashi Brute强制使用默认凭据的不同组合来迫使登录,同时通知其命令和控制[C2]服务器的成功登录尝试,”Hsu及其同事在博客中详细介绍了他们的研究。
“多个,如果不是全部,Zyxel NAS产品运行的固件版本最高可达5.21易受这种预认证命令注入漏洞。供应商咨询也可用。“
核心漏洞铰链在可执行文件中铰接,WebLogin.cgi在身份验证期间没有正确消毒用户名参数。结果,攻击者可以使用单个报价标记关闭字符串和分号以连接任意命令并实现命令执行。由于WebLogin.cgi接受HTTP Get和Post请求,攻击者可以在HTTP请求中嵌入恶意有效载荷并实现代码执行。
徐豪尔说,帕洛阿尔托在2020年3月12日观察了第一个与穆克利有关的利用。在这种情况下,攻击者试图下载shell脚本,执行它以下载Mirai Bot的不同体系结构,并从易受攻击的设备中删除证据。
Mukashi首先通过首次扫描随机主机的TCP端口23来工作,使登录并向其C2服务器报告登录并报告成功登录。与Mirai的其他后裔一样,它可以接收C2命令来推出分布式拒绝服务(DDOS)攻击。
恒生的团队为单位42网站提供了广泛的技术细节,以及穆卡希奇如何工作,以及妥协(IOC)的指标。
研究人员说:“强烈建议更新固件,以保持袭击者在海湾。”“最新版本的固件可供下载。复杂的登录密码也被建议防止蛮迫使。“
Palo Alto补充说,它自己的客户将通过其下一代防火墙产品通过其具有威胁预防许可证和野火产品,这是一种基于云的虚拟环境,这些虚拟环境分析和执行未知的样本 - 可用版本的免费版下一代防火墙订阅的一部分。
Zyxel指出,对于2016年或之前达到支持结束的受影响的NAS产品,不再提供固件更新。“我们强烈建议用户遵循替代方法,详细信息......要修复漏洞,”它说。