Хакер #305. Многошаговые SQL-инъекции
Специалисты Palo Alto Networks обнаружили новую вариацию ботнета Tsunami, который строится на базе IoT-устройств. Преимущественно в состав ботнета входят DVR-девайсы китайского производителя TVT Digital, которые продаются по всему миру более чем под 70 различными брендами.
В 2016 году исследователь Ротем Кернер (Rotem Kerner), специалист по безопасности из компании RSA Security, обратил внимание на то, что у многих компьютеров, пораженных вредоносом Backoff, на портах 81, 82 и 8000 запущен небольшой веб-сервер. Недолгие изыскания показали, что этот веб-сервер служит для доступа к камерам видеонаблюдения и DVR-девайсам, которые выпускает китайская фирма TVT Digital.
Кернер быстро обнаружил, что Shodan находит около 30 000 таких камер. Также исследователь без особого труда нашел уязвимость в софте производителя. Оказалось, что при обработке запроса веб-сервер без проверки вставляет фрагмент адреса страницы в командную строку. Один правильно сформированный URL и устройство исполнит любую команду атакующего.
Связаться с представителями TVT Digital Кернер не сумел, и в результате обнаруженная им RCE-уязвимость так и осталась неисправленной. Так как эксплоит был доступен публично, злоумышленники поспешили взять баг на вооружение, и атаковать уязвимые устройства TVT Digital. Уже в прошлом году эти девайсы стали сердцем многих IoT-ботнетов, но преимущественно построенных на базе вредоноса Mirai.
Теперь, согласно сообщению аналитиков Palo Alto Networks, устройства TVT Digital вновь находятся под атакой, однако ответственность лежит на другой малвари. Вредонос, который исследователи назвали Amnesia, является наследником известной малвари Tsunami, предназначенной для атаки на IoT- и Linux-девайсы, c целью создания ботнета для DDoS-атак.
Исследователи отмечают, что Amnesia обзавелась новыми функциями, в частности, «научилась» определять, не пытаются ли исследователи запустить ее в песочнице или на виртуальной машине. Хуже того, если Amnesia заподозрит, что ее пытаются изучать, малварь мстительно удалит не только себя, но очистит всю систему вообще.
Согласно Shodan, в настоящее время в сети можно обнаружить более 50 000 IoT-устройств, уязвимых перед описанными атаками, тогда как по данным Censys, таких девайсов насчитывается до 705 000. Надо полагать, реальное количество лежит где-то посередине, но не все уязвимые устройства произведены TVT Digital.