Эксперты Palo Alto Networks обнаружили новую версию вредоноса Mirai, получившую название Mukashi. Данная разновидность использует брутфорс и различные комбинации учетных данных по умолчанию, а также проникает в устройства компании Zyxel, чтобы получить контроль над ними, а затем использовать для DDoS-атак.

Исследователи объясняют, что малварь Mukashi эксплуатирует недавно найденную и исправленную уязвимость CVE-2020-9054, которая затрагивает сразу несколько моделей NAS компании (работающих под управлением прошивки 5.21 и более ранних версий) и позволяет удаленно и без аутентификации выполнить на них произвольный код. Напомню, что по шкале оценки уязвимостей CSSV проблема набрала 10 баллов из 10 возможных.

Корень данной проблемы заключается в файле weblogin.cgi, баг возникает из-за некорректной очистки параметра имени пользователя. То есть если username включает в себя определенные символы,  проявляется уязвимость и ее можно использовать для инъекций команд с привилегиями веб-сервера. После этого злоумышленник может использовать утилиту setuid для запуска произвольных команд с root-привилегиями.

Хуже того, оказалось, что уязвимость угрожает не только NAS компании, как сообщалось изначально, но также представляет опасность для 23 UTM-, ATP- и VPN- брандмауэров с прошивками версий  от ZLD V4.35 Patch 0 до ZLD V4.35 Patch 2.

По информации экспертов, Mukashi сканирует сеть в поисках уязвимых девайсов Zyxel по меньшей мере с 12 марта 2020 года. Кроме того, как и другие разновидности Mirai, Mukashi исследует интернет в поисках других уязвимых IoT-устройств (маршрутизаторы, устройства NAS, камеры и DRV), которые защищены только заводскими настройками по умолчанию или простыми, распространенными паролями.

Индикаторы компрометации и технические подробности можно найти в блоге Palo Alto Networks.

Теги: CSS