En variant af Mirai DDoS-malware udvider sine mål med 13 router-udnyttelser. En Mirai-baseret DDoS (distribueret tjenestenægtelses) malware botnet, der er kendt som IZ1H9, har tilføjet tretten nye nyttelaster for at angribe Linux-baserede routere samt routere fra D-Link, Zyxel, TP-Link, TOTOLINK og andre.
Forskere fra Fortinet rapporterer, at de observerede en spids i udnyttelsesraterne omkring første uge af september, hvor der blev foretaget titusinder af udnyttelsesforsøg mod sårbare enheder.
IZ1H9 kompromitterer enheder for at inkludere dem i sin DDoS-sværm og lancerer derefter DDoS-angreb mod specificerede mål, sandsynligvis på ordre fra klienter, der lejer dens styrke.
Observerede udnyttelsesforsøg i hele september. Omfattende målretning af IoT-enheder.
Jo flere enheder og sårbarheder, der bliver mål for en DDoS-malware, jo større er potentialet for at opbygge et stort og kraftfuldt botnet, der er i stand til at levere massive angreb mod hjemmesider.
I tilfælde af IZ1H9 rapporterer Fortinet, at den bruger udnyttelser for følgende sårbarheder, dateret fra 2015 til 2023:
D-Link devices: CVE-2015-1187, CVE-2016-20017, CVE-2020-25506, CVE-2021-45382
Netis WF2419: CVE-2019-19356
Sunhillo SureLine (versions before 8.7.0.1.1): CVE-2021-36380
Geutebruck products: CVE-2021-33544, CVE-2021-33548, CVE-2021-33549, CVE-2021-33550, CVE-2021-33551, CVE-2021-33552, CVE-2021-33553, CVE-2021-33554
Yealink Device Management (DM) 3.6.0.20: CVE-2021-27561, CVE-2021-27562
Zyxel EMG3525/VMG1312 (before V5.50): CVE not specified but targets the Zyxel device’s /bin/zhttpd/ component vulnerability
TP-Link Archer AX21 (AX1800): CVE-2023-1389
Korenix JetWave wireless AP: CVE-2023-23295
TOTOLINK routers: CVE-2022-40475, CVE-2022-25080, CVE-2022-25079, CVE-2022-25081, CVE-2022-25082, CVE-2022-25078, CVE-2022-25084, CVE-2022-25077, CVE-2022-25076, CVE-2022-38511, CVE-2022-25075, CVE-2022-25083
Sådan foregår angrebe
Efter at have udnyttet en af de nævnte CVE'er, injiceres en IZ1H9 nyttelast i enheden, der indeholder en kommando til at hente en skalleskriftsdownloader ved navn "l.sh" fra en angivet URL.
Ved eksekvering slettes logfilerne for at skjule den ondsindede aktivitet, og derefter hentes botklienter skræddersyet til forskellige systemarkitekturer.
Endelig ændrer skriptet enhedens iptables-regler for at blokere forbindelsen på specifikke porte og gøre det sværere at fjerne malwaren fra enheden.
Efter at have udført alt det ovenstående opretter robotten kommunikation med C2 (kommando- og kontrol) serveren og venter på kommandoer til udførelse.
De understøttede kommandoer vedrører typen af DDoS-angreb, der skal iværksættes, herunder UDP, UDP Plain, HTTP-flod og TCP SYN. Fortinet rapporterer også, at IZ1H9 har en dataafsnit med hardcodede legitimationsoplysninger, der bruges til brute-force angreb. Disse angreb kan være nyttige til spredning til tilstødende enheder eller til godkendelse af IoT-enheder, hvor den ikke har en fungerende udnyttelse.
Ejere af IoT-enheder anbefales at bruge stærke administratorlegitimationsoplysninger, opdatere dem til den nyeste tilgængelige firmwareversion og om muligt begrænse deres eksponering for det offentlige internet.
Comments