聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

一款新型僵尸网络的作者正在攻击受严重漏洞影响的联网设备，其中一些漏洞还影响网络安全设备。

这些攻击仍然在进行，而且使用的是公开披露的 exploit，有时exploit 仅发布几小时后就遭利用。目前至少10个漏洞的 exploit 代码遭利用，最新的 exploit 是上周末才被添加。

新旧漏洞皆遭利用

被攻陷的设备最终沦为 Mirai 僵尸网络恶意软件的一个变种，专门攻击该设备的架构。2月中旬，Palo Alto Networks Unit 42 的安全研究员发现该僵尸网络发动的攻击并跟踪其活动。该僵尸网络的作者花了大概一个月的时间集成10个漏洞的 exploit，其中有些漏洞是严重级别，用于攻击多个目标。其中一个 exploit 被称为 “VisualDoor”，是位于 SonicWall SSL-VPN 设备中的一个远程命令注入漏洞，厂商称多年前已修复。

这些攻击活动还利用新近出现的 exploit，如CVE-2021-22520的exploit。该漏洞是位于 Vertica 公司 Micro Focus Operation Bridge Reporter (OBR) 中的一个远程代码执行漏洞。OBR 使用大数据技术创建基于源自其它企业软件的数据的性能报告。

该 Mirai 僵尸网络变体还利用了影响 Yealink Device Management 的两个严重漏洞（CVE-2021-27561 和 CVE-2021-27562）。这些漏洞是由独立研究员 Pierre Kim 和 Alexandre Torres 通过 SSD Secure Disclosure 计划报告的。它们是由用户提供的数据未被正确过滤造成的，可导致未认证攻击者在服务器上以 root 权限运行任意命令。

Unit 42 的研究员表示，由于攻击目标不确定，其中遭利用的三个漏洞尚不清楚是哪些。如下是这些攻击活动中遭利用的缺陷。

攻击者成功攻陷设备后，会释放多个二进制，从而调度任务、创建过滤规则、实施暴力攻击或传播僵尸网络恶意软件：

• Lolol.sh：下载并运行专门针对架构的”暗黑“二进制；它还会调度任务，重新运行该脚本并创建流量规则，拦截SSH、HTTP、telnet 常见端口的接入连接

• Install.sh：安装 ‘zmap’ 网络扫描器，下载 GoLang 和文件，在 ‘zmap’ 发现的 IP 地址运行暴力攻击

• Nbrute.[arch]：暴力攻击的二进制

• Combo.txt：暴力攻击者使用的具有凭据的文本文件

• Dark.[arch]：基于Mirai 的二进制，用于通过exploit 或暴力攻击传播恶意软件

推荐阅读

警惕！Mirai 新变体带着11个新利用攻击企业设备

Mirai 作者之一被罚 860 万美元

当心！ 物联网僵尸网络 Mirai 和 Gafgyt 瞄上了企业

参考链接

https://www.bleepingcomputer.com/news/security/new-botnet-targets-network-security-devices-with-critical-exploits/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~