Эксперты компании Trend Micro обнаружили интересую модификацию IoT-вредоноса Mirai, получившую идентификатор Backdoor.Linux.MIRAI.VWIPT и использующую для атак набор из 13 эксплоитов. Почти все эти эксплоиты (кроме двух) ранее уже использовались различными разновидностями Mirai, однако ранее никогда не встречались в такой комбинации и в рамках одной кампании.

Данная версия вредоноса, как и другие вариации Mirai, умеет перебирать распространенные учетные данные по умолчанию, но также нацелена на следующие уязвимости: в сетевых видеорегистраторах Vacron; роутерах Dasan GPON; устройствах D-Link; различных устройствах CCTV и DVR; девайсах, использующих Realtek SDK с демоном miniigd; беспроводных роутерах EirD1000; Netgear DGN1000; Netgear R7000 и R6400; MVPower DVR; роутерах Huawei HG532; роутерах Linsys E-series; а также ThinkPHP 5.0.23/5.1.31.

В своем отчете эксперты приводят список уязвимостей, и рассказывают, в каких еще атаках применялись эсплоиты для них.

Эксплоит Уязвимые устройства Другие атаки
1 Vacron NVR CVE RCE в сетевых видеорегистраторах Vacron Omni
2 CVE-2018-10561, CVE-2018-10562 Обход аутентификации и инъекции команд в GPON-маршрутизаторах Dasan Omni
Mirai-подобные сканирования
3 CVE-2015-2051 Связанное с Home Network Administration Protocol (HNAP) SOAPAction-header выполнение команд в устройствах D-Link Omni
Hakai
4 CCTV-DVR RCE RCE-баги в оборудовании разных вендоров CCTV-DVR Omni
Yowai
5 CVE-2014-8361 Universal Plug and Play (UPnP) Simple Object Access Protocol (SOAP) инъекции команд в устройствах, использующих Realtek SDK с демоном miniigd Omni
6 UPnP SOAP TelnetD command execution UPnP SOAP выполнение команд в устройствах D-Link Omni
7 Eir WAN side remote command injection WAN инъекции команд в беспроводных роутерах Eir D1000 Omni
8 Netgear Setup.cgi RCE RCE-баг в Netgear DGN1000 Omni
9 CVE-2016-6277 RCE-баг в Netgear R7000 и R6400 Omni
Заражения VPNFilter
10 MVPower DVR shell command execution RCE –уязвимость, работающая без аутентификации в MVPower DVR Omni
11 CVE-2017-17215 Выполнение произвольных команд в роутерах Huawei HG532 Omni
Satori
Miori
12 Linksys RCE RCE-проблема в роутерах Linksys E-series TheMoon
13 ThinkPHP 5.0.23/5.1.31 RCE RCE-проблема, затрагивающая ThinkPHP 5.0.23/5.1.31 Hakai
Yowai

Исследователи заключают, что стоящие за новой вариацией Mirai злоумышленники, похоже, просто копировали код и техники у своих «коллег по цеху», а вместе с этим и эксплоиты, которые использовались в предыдущих случаях. Также выбор именно этих эксплоитов может объясняться тем, что многие из уязвимых устройств до сих пор широко используются, а администраторы не торопятся устанавливать на них исправления для известных уязвимостей.

1 комментарий

  1. Аватар

    SergeyL82

    11.06.2019 at 12:58

    Данные уязвимости присущи версиям ПО, разработанным
    в Китае и использующим в своем составе протокол HNAP. На территорию
    России такие устройства не поставляются.
    В версиях ПО разработанных Российским подразделением R&D компании D-Link протокол HNAP не используется

Оставить мнение