Хакер #305. Многошаговые SQL-инъекции
Компания Juniper Networks предупреждает своих клиентов об атаках Mirai-ботента, который сканирует интернет в поисках маршрутизаторов Session Smart, использующих учетные данные по умолчанию.
Как пояснили в компании, малварь ищет устройства с учетными данными по умолчанию, а после получения доступа к ним позволяет удаленно выполнять команды, давая своим операторам возможность осуществлять широкий спектр вредоносных действий.
Впервые эта кампания была замечена еще 11 декабря, когда в сетях клиентов были замечены первые зараженные маршрутизаторы. Позже операторы ботнета использовали пострадавшие устройства для проведения DDoS-атак.
«В среду, 11 декабря 2024 года, сразу несколько клиентов сообщили о подозрительном поведении своих платформ Session Smart Network (SSN), — пишет Juniper Networks. — Все клиенты, не соблюдающие рекомендованные передовые практики и использующие пароли по умолчанию, могут считать себя скомпрометированными, поскольку пароли SSR по умолчанию были добавлены в вирусную базу данных».
Также компания поделилась индикаторами компрометации, которые администраторы могут обнаружить в своих сетях. В их числе:
- сканирование устройств на распространенных Layer 4 портах (например, 23, 2323, 80, 8080),
- неудачные попытки входа в SSH-сервисы, свидетельствующие о брутфорс-атаках;
- внезапное увеличение объема исходящего трафика, указывающее на то, что устройства используются для DDoS-атак;
- перезагрузка устройств или их нестабильное поведение, указывающее на то, что они скомпрометированы;
- SSH-соединения с известных вредоносных IP-адресов.
Компания советует клиентам немедленно изменить учетные данные по умолчанию на всех маршрутизаторах Session Smart и использовать уникальные и надежные пароли на всех устройствах.
Маршрутизаторы, уже скомпрометированные в результате этих атак, должны быть перенастроены заново, прежде чем их можно будет вернуть в сеть.
«Если обнаружено, что система заражена, единственным надежным способом остановить угрозу является reimaging, поскольку невозможно точно определить, что именно могло быть изменено или получено с зараженного устройства», — подчеркивают в Juniper Networks.