Mukashi – biến thể mới của Mirai IoT Botnet nhắm tới thiết bị lưu trữ mạng của Zyxel

  • 26/03/2020
  • 07:30

Một phiên bản mới của Mirai botnet – mạng lưới các thiết bị nhiễm phần mềm độc hại chạy trên Linux – đang khai thác một lỗ hổng nghiêm trọng trong các ổ cứng mạng (NAS). Vẫn chưa phát hiện ra lỗi này là gì nhưng việc khai thác nó có thể giúp kẻ xấu lây nhiễm và kiểm soát các máy từ xa.
Biến thể mới này được gọi là “Mukashi”. Nó là phiên bản mới của phần mềm độc hại sử dụng các cuộc tấn brute-force (tấn công thử mật khẩu). Nó kết hợp những thông tin mặc định khác nhau để đăng nhập vào các tường lửa như Zyxel NAS, UTM, ATP và VPN, từ đó kiểm soát các thiết bị và thêm chúng vào mạng botnet và lợi dụng chúng thực hiện các cuộc tấn công từ chối dịch vụ phân tán DDoS.
Những sản phẩm NAS Zyxel chạy các firmware đến phiên bản 5.21 là những đối tượng dễ bị lây nhiễm. Nhóm tình báo đe dọa toàn cầu số 42 của công ty an ninh mạng Palo Alto Networks cho biết, họ đã phát hiện ra lần khai thác lỗi đầu tiên vào ngày 12/3.

Lỗ hổng của Zyxel

Mukashi được phát triển từ một lỗ hổng chèn lệnh xác thực trước (Pre-Authentication Command Injection) gọi là CVE-2020-9054. Đây là một PoC mới được công bố vào tháng trước. Lỗ hổng nằm trong chương trình “weblogin.cgi” được sử dụng bởi các thiết bị Zyxel, vì thế nó có khả năng cho phép kẻ tấn công chạy mã từ xa thông qua các lệnh chèn.
Theo các nhà nghiên cứu của Palo Alto Networks “Lệnh weblogin.cgi thực thi không dùng đúng tham số tên người dùng trong khi xác thực. Kẻ tấn công có thể sử dụng một dấu phẩy trên (‘) để đóng chuỗi và dấu chấm phẩy (;) để nối các lệnh tùy ý để có được lệnh chèn theo ý chúng. Vì weblogin.cgi chấp nhận cả hai HTTP request GET và POST, kẻ tấn công có thể nhúng payload độc hại vào một trong những HTTP request này và nhận mã thực thi.”

Vào tháng trước, sau khi các hướng dẫn khai thác lỗ hổng được bán trong các diễn đàn tội phạm mạng ngầm với giá 20.000 đô la (hơn 460 triệu VNĐ), Zyxel đã đưa ra một bản vá cho nó. Tuy nhiên, bản cập nhật không giải quyết được lỗ hổng trên những thiết bị cũ không được hỗ trợ.
Như một giải pháp thay thế, Zyxel đã kêu gọi những người sử dụng các thiết bị đã bị tấn công không để thiết bị của họ kết nối với Internet. Mọi người nên kết nối thiết bị với bộ định tuyến bảo mật hoặc tường lửa để tăng khả năng bảo vệ.

Mukashi nhắm vào các thiết bị NAS Zyxel

Cũng giống như các biến thể Mirai khác, Mukashi hoạt động bằng cách quét Internet cho các thiết bị IoT dễ bị lây nhiễm như bộ định tuyến, NAS, máy quay an ninh và máy quay video kỹ thuật số (digital video recorders – DVR). Những mục tiêu tiềm năng là những máy chủ chỉ được sử dụng thông tin đăng nhập mặc định của cài đặt gốc hoặc sử dụng mật khẩu dễ đoán. Sau khi tấn công vào hệ thống sẽ thêm chúng vào botnet.
Nếu đăng nhập bằng brute-force thành công, Mukashi sẽ báo cáo đăng nhập đến máy chủ chỉ huy và kiểm soát (command-and-control – C2) do kẻ tấn công điều khiển và chờ lệnh để khởi động các cuộc tấn công DDoS.

Các nhà nghiên cứu cho biết “Khi được chạy, Mukashi sẽ gửi thông báo ‘Protecting your device from further infections’ (bảo vệ thiết bị của bạn khỏi những lần tấn công sau) cho bàn điều khiển. Sau đó malware tiến hành thay đổi tên tiến trình của nó thành drcrcper, việc làm này khá giống phiên bản trước đó của Mukashi.”

Lịch sử các cuộc tấn công DDoS của Mirai

Kể từ khi được phát hiện vào năm 2016, Mirai botnet đã được liên kết với một chuỗi các cuộc tấn công DDoS quy mô lớn. Trong đó có một cuộc tấn công vào nhà cung cấp dịch vụ DNS tên Dyn vào tháng 10/2016, khiến người dùng các nền tảng và dịch vụ internet lớn ở châu Âu và Bắc Mỹ không thể truy cập được.
Kể từ đó, nhiều biến thể của Mirai đã xuất hiện, một phần là do sự sẵn có của những mã nguồn Mirai mở trên Internet kể từ năm 2016.
Người tiêu dùng Zyxel được khuyến khích cập nhật chương trình cơ sở để bảo vệ các thiết bị khỏi Mukashi. Họ cũng có thể cập nhật thông tin đăng nhập, sử dụng những mật khẩu phức tạp để tránh bị tấn công brute-force.

  • Nguồn tin:
  • Theo Securitydaily