Новая версия Echobot использует для распространения более 50 эксплоитов

IoT-малварь Echobot – это очередная вариация известного вредоноса Mirai, обнаруженная ИБ-специалистами Palo Alto Networks в начале июня 2019 года. Эксперты компании Akamai уже посвятили этой угрозе детальный отчет, из которого стало ясно, что Echobot следует за общим трендом: авторы малвари не привнесли в код Mirai ничего нового, но добавили к исходникам новые, дополнительные модули. В настоящее время ботнет Echobot используется для организации DDoS-атак.

Когда малварь впервые заметили исследователи Palo Alto Networks, Echobot использовал эксплоиты для 18 уязвимостей. Но вскоре эксперты Akamai обнаружили другую вариацию Echobot, применявшую уже 26 разных эксплоитов, как старых, так и новых. Тогда малварь атаковала различные NAS, маршрутизаторы, NVR, IP-камеры, IP-телефоны и так далее.

На этой неделе независимый ИБ-специалист Карлос Брендель Альканис (Carlos Brendel Alcañiz) сообщил, что авторы Echobot снова расширили арсенал своего вредоноса, и теперь на вооружении малвари находятся уже 59 всевозможных эксплоитов.

Эксперт обнаружил новую вариацию угрозы, когда заметил код, предназначенный для атак на уязвимости в устройствах Asus. Полный список пейлоадов специалист уже опубликовал на PasteBin. Судя по всему, операторы малвари пустили в дело всевозможные публично доступные эксплоиты для давно известных уязвимостей, некоторые из которых датированы 2010 годом. При этом нельзя сказать, что злоумышленники концентрировались на какой-то на определенной категории продуктов.

Исследователь рассказал изданию Bleeping Computer, что теперь эксплоиты Echobot нацелены как на аппаратные, так и на программные решения, включая: роутеры, камеры, хабы для умного дома, сетевые системы хранения данных, серверы, ПО для управления базами данных и Zeroshell. Полный список эксплоитов, входящих в эту версию малвари, можно увидеть ниже.

Устройство или ПО Тип уязвимости
Asustor ADM 3.1.2RHG1 Удаленное выполнение кода
Ubiquity Nanostation 5 (Air OS) 0-day, удаленное выполнение команд
Alcatel-Lucent OmniPCX Enterprise 7.1 Удаленное выполнение команд
ASMAX AR 804 gu Web Management Console Выполнение произвольных команд
ASUS DSL-N12E_C1 1.1.2.3_345 Удаленное выполнение команд
Asus RT56U 3.0.0.4.360 Удаленная инъекция команд
AWStats Totals 1.14 multisort - Удаленное выполнение команд
AWStats 6.0 'configdir' Удаленное выполнение команд
AWStats 6.0 'migrate' Удаленное выполнение команд
Barracuda IMG.pl Удаленное выполнение команд
Beckhoff CX9020 CPU Module Удаленное выполнение кода
Belkin Wemo UPnP Удаленное выполнение кода
BEWARD N100 H.264 VGA IP Camera M2.1.6 Удаленное выполнение кода
Crestron AM/Barco wePresent WiPG/Extron ShareLink/Teq AV IT/SHARP PN-L703WA/Optoma WPS-Pro/Blackbox HD WPS/InFocus Удаленная инъекция команд
Citrix SD-WAN Appliance 10.2.2 Обход аутентификации, удаленное выполнение команд
EnGenius EnShare IoT Gigabit Cloud Service 1.4.11 Удаленное выполнение кода
Dogfood CRM 'spell.php' Удаленное выполнение команд
CTEK SkyRouter 4200/4300 Выполнение команд
NETGEAR R7000 / R6400 'cgi-bin' Инъекция команд
Dell KACE Systems Management Appliance (K1000) 6.4.120756 Удаленное выполнение кода без аутентификации
D-Link Инъекция команд через интерфейс UPnP
OpenDreamBox 2.0.0 Plugin WebAdmin Удаленное выполнение кода
FreePBX 2.10.0 / Elastix 2.2.0 Удаленное выполнение кода
Fritz!Box Webcm Инъекция команд
Geutebruck 5.02024 G-Cam/EFD-2250 'testaction.cgi' Удаленное выполнение команд
Gitorious Удаленное выполнение команд
HomeMatic Zentrale CCU2 Удаленное выполнение кода
Hootoo HT-05 Удаленное выполнение кода
Iris ID IrisAccess ICU 7000-2 Удаленное выполнение команд
Linksys WAG54G2 Выполнение произвольных команд в Web Management Console
Mitel AWC Выполнение команд
Nagios 3.0.6 'statuswml.cgi' Инъекция произвольных шелл-команд
NUUO NVRmini 'upgrade_handle.php' Удаленное выполнение команд
NETGEAR ReadyNAS Surveillance 1.4.3-16 Удаленное выполнение команд
EyeLock nano NXT 3.5 Удаленное выполнение кода
OP5 5.3.5/5.4.0/5.4.2/5.5.0/5.5.1 'welcome' Удаленное выполнение команд
OP5 7.1.9 Удаленное выполнение команд
HP OpenView Network Node Manager 7.50 Удаленное выполнение команд
Oracle Weblogic 10.3.6.0.0 / 12.1.3.0.0 Удаленное выполнение кода
PHPMoAdmin Удаленное выполнение кода без аутентификации
Plone и Zope Удаленное выполнение команд
QuickTime Streaming Server 'parse_xml.cgi' Удаленное выполнение
Realtek SDK Miniigd UPnP SOAP выполнение команд
Redmine SCM Repository 0.9.x/1.0.x Выполнение произвольных команд
Rocket Servergraph Admin Center fileRequestor Удаленное выполнение кода
SAPIDO RB-1732 Удаленное выполнение команд
Seowonintech Devices Удаленное выполнение команд
Spreecommerce 0.60.1 Выполнение произвольных команд
LG SuperSign EZ CMS 2.5 Удаленное выполнение кода
FLIR Thermal Camera FC-S/PT Инъекция команд
Schneider Electric U.Motion Builder 1.3.4 'track_import_export.php object_id' Инъекция команд без аутентификации
MiCasaVerde VeraLite Удаленное выполнение кода
VMware NSX SD-WAN Edge Инъекция команд
WePresent WiPG-1000 Инъекция команд
Wireless IP Camera (P2P) WIFICAM Удаленное выполнение кода
Xfinity Gateway Удаленное выполнение кода
Yealink VoIP Phone SIP-T38G Удаленное выполнение команд
ZeroShell 1.0beta11 Удаленное выполнение кода

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)

  • Фух. Микротика нет в списке. Можно спать спокойно.