Контакты
Подписка
МЕНЮ
Контакты
Подписка

Активность ботнета Mirai возросла после публикации нового эксплоита

Активность ботнета Mirai возросла после публикации нового эксплоита

Активность ботнета Mirai возросла после публикации нового эксплоита


28.11.2017



Активность IoT-ботнета Mirai снова возросла после публикации PoC-эксплоита, эксплуатирующего уязвимость в устаревших моделях маршрутизаторов ZyXEL PK5001Z. Об этом сообщили исследователи безопасности из компании Qihoo 360 Netlab.

 Согласно отчету исследователей, код эксплоита был опубликован 31 октября 2017 года, однако первые случаи его использования были зафиксированы только 22 ноября.

 Уязвимость CVE-2016-10401 представляет собой скрытый пароль суперпользователя (zyad5001), присутствующий на уязвимых устройствах. Эксплуатируя данную уязвимость, злоумышленник может получить права суперпользователя на маршрутизаторе. В остальных случаях данный пароль бесполезен, поскольку его нельзя использовать для авторизации на устройстве.

 Тем не менее, злоумышленники обнаружили, что существует большое количество устройств ZyXEL, использующих admin / CentryL1nk и admin / QwestM0dem в качестве учетных данных Telnet по умолчанию.

 Эксплоит автоматизирует процесс удаленной авторизации на устройстве ZyXEL с использованием одного из указанных выше паролей, а затем использует пароль суперпользователя для повышения привилегий на устройстве.

 Операторы Mirai и его аналогов взяли эксплоит на вооружение вскоре после его публикации. По словам экспертов, это связано с тем, что ботнеты по типу Mirai создаются путем сканирования Интернета на предмет устройств с открытыми портами Telnet и использования учетных данных по умолчанию для авторизации на устройстве и установки вредоносного ПО.

 За последние несколько дней исследователи зафиксировали нехарактерный рост числа попыток сканирования портов 23 и 2323, которые используются для аутентификации по протоколу Telnet. Злоумышленники используют PoC-эксплоит для авторизации на уязвимых устройствах и заражения их вредоносным ПО Mirai.

 Как отмечают специалисты, большинство зараженных устройств находятся в Аргентине, в частности в сети аргентинского оператора связи Telefonica de Argentina. В общей сложности было обнаружено около 100 тыс. IP-адресов, выполняющих поиск уязвимых устройств. Вредоносное ПО Mirai не имеет механизма сохранения присутствия и автоматически удаляется при перезагрузке маршрутизатора. По этой причине размеры ботнетов Mirai сильно варьируются, а их операторы должны постоянно сканировать интернет на предмет новых уязвимых устройств, пояснили специалисты.

 

Securitylab