Δύο ευπάθειες που εντοπίστηκαν πρόσφατα στο Ivanti Connect Secure (ICS) φαίνεται πως χρησιμοποιούνται για την ανάπτυξη του περίφημου botnet Mirai.
Σύμφωνα με έρευνα της Juniper Threat Labs, οι ευπάθειες CVE-2023-46805 και CVE-2024-21887 έχουν χρησιμοποιηθεί για την παράδοση του botnet payload. Η πρώτη ευπάθεια επιτρέπει την παράκαμψη ελέγχου ταυτότητας, ενώ η δεύτερη είναι μια ευπάθεια για command injection. Οι επιτιθέμενοι μπορούν να συνδυάσουν τα δύο σφάλματα για να εκτελέσουν κώδικα και να πάρουν τον έλεγχο μη ενημερωμένων instances.
Στην αλυσίδα επιθέσεων που εντοπίστηκε, η ευπάθεια Ivanti CVE-2023-46805 χρησιμοποιήθηκε για την απόκτηση πρόσβασης στο “/api/v1/license/key-status/;” endpoint (το οποίο είναι ευάλωτο σε command injection) και για την εισαγωγή του Mirai botnet payload.
Δείτε επίσης: Το Goldoon Botnet στοχεύει D-Link Routers
Όσον αφορά στην εκμετάλλευση της ευπάθειας CVE-2024-21887, ενεργοποιείται μέσω ενός request στο “/api/v1/totp/user-backup-code/” για την ανάπτυξη του κακόβουλου λογισμικού.
“Αυτή η ακολουθία εντολών επιχειρεί να διαγράψει αρχεία, κατεβάζει ένα script από έναν απομακρυσμένο διακομιστή, ορίζει executable permissions και εκτελεί το script, οδηγώντας ενδεχομένως σε ένα μολυσμένο σύστημα“, δήλωσε ο ερευνητής ασφαλείας Kashinath T Pattan.
Το shell script, από την πλευρά του, κατεβάζει το Mirai botnet malware από διεύθυνση IP που ελέγχεται από τους επιτιθέμενους (“192.3.152[.]183”).
Σύμφωνα με τον ερευνητή, η παράδοση του botnet Mirai μέσω αυτών των ευπαθειών “αναδεικνύει το συνεχώς εξελισσόμενο τοπίο των κυβερνοαπειλών“.
Δείτε επίσης: ΗΠΑ: Κατηγορίες εναντίον Μολδαβού για το χειρισμό botnet
Η μόλυνση με το Mirai σημαίνει επίσης ότι θα αναπτυχθεί και άλλο επιβλαβές κακόβουλο λογισμικό και ransomware.
Προστασία από malware botnet
Για να προστατευτείτε από Botnet, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις botnet συχνά εκμεταλλεύονται γνωστές ευπάθειες (όπως σε αυτή την περίπτωση).
Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.
Δείτε επίσης: Πολλαπλά botnet εκμεταλλεύονται ελαττώματα TP-Link
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το Botnet (π.χ. Mirai). Οι επιθέσεις botnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.
Πηγή: thehackernews.com