Μία νέα έκδοση του Mirai Malware, που δημιουργήθηκε από hackers, εκμεταλλεύεται την ευπάθεια εκτέλεσης απομακρυσμένου κώδικα (CVE-2020-9054), η οποία επιδιορθώθηκε πρόσφατα σε συσκευές αποθήκευσης που συνδέονται με το δίκτυο Zyxel (NAS).
Η ευπάθεια έχει χαρακτηριστεί ως «κρίσιμη» και έχει βαθμολογηθεί με 9,8 CVE. Το συγκεκριμένο σφάλμα επιτρέπει στο Mukashi botnet να πραγματοποιήσει επιθέσεις brute force σε logins χρησιμοποιώντας διαφορετικούς συνδυασμούς προεπιλεγμένων διαπιστευτηρίων.
Οι συσκευές Zyxel NAS που εκτελούν εκδόσεις firmware μέχρι και 5.21, είναι ευάλωτες να εκμεταλλευτούν αυτή τη νέα παραλλαγή του Malware.
Η ευπάθεια ανακαλύφθηκε αρχικά ως zero day και ο κώδικας εκμετάλλευσης διατέθηκε προς πώληση από μια ομάδα hackers, που επιχείρησαν να εκμεταλλευτούν το Emotet malware.
Οι ερευνητές αποκάλυψαν την ευπάθεια στις 12 Μαρτίου 2020, όταν ο εισβολέας προσπάθησε να κατεβάσει ένα shell script στον κατάλογο tmp, να εκτελέσει το ληφθέν script και να αφαιρέσει τα στοιχεία του από την ευάλωτη συσκευή.
Το Mukashi είναι επίσης σε θέση να ξεκινήσει επίθεση DDOS στο μολυσμένο μηχάνημα, λαμβάνοντας την εντολή από το διακομιστή C2.
Πώς λειτουργεί;
Αρχικά, οι hacker ανιχνεύουν τη θύρα TCP 23 τυχαίων κεντρικών υπολογιστών που ανήκουν στο στοχευόμενο δίκτυο. Για το σκοπό αυτό χρησιμοποιούν το Mukashi bot και πραγματοποιούν επίθεση brute force σε logins, χρησιμοποιώντας προεπιλεγμένα διαπιστευτήρια. Στη συνέχεια αναφέρουν την επιτυχημένη προσπάθεια σύνδεσης στον διακομιστή C2.
Μετά την επιτυχή εκτέλεση, το κακόβουλο λογισμικό εμφανίζει το μήνυμα “Προστασία της συσκευής σας από περαιτέρω μολύνσεις” στην κονσόλα και δεσμεύεται στη θύρα TCP 23448 για να διασφαλίσει ότι η συγκεκριμένη ενέργεια εκτελείται πριν προχωρήσει στην προβλεπόμενη λειτουργία.
Οι ερευνητές συνιστούν στους χρήστες να κατεβάσουν την πιο πρόσφατη έκδοση του firmware. Επιπλέον τους παροτρύνυον να ορίσουν έναν πολύπλοκο κωδικό πρόσβασης για να αποτρέψουν τις επιθέσεις brute force.
