Mirai Botnet iskorištava ruter ranjivosti

AUTOR ·

Shadowserver Foundation organizacija je otkrila da je Mirai botnet pokrenuo novi talas sajber napada koristeći značajne ranjivosti u ruterima i pametnim uređajima proizvođača Tenda, DrayTek, HuangDou, FourFaith i Totolink, prvenstveno ciljajući na industrijske i kućne mreže širom sveta.

Mirai Botnet

Mirai Botnet iskorištava ruter ranjivosti; Source: Bing Image Creator

MIRAI BOTNET

Mirai botnet je poznat po tome što preuzima kontrolu nad ranjivim internet stvari (eng. internet of things – IoT) uređajima kao što su ruteri, kamere i drugi povezani uređaji kako bi se stvorila mreža zaraženih uređaja (eng. botnet). Ova mreža zaraženih uređaja se zatim koristi za pokretanje distribuiranih napada uskraćivanjem usluge (eng. distributed denial-of-service – DDoS), preplavljujući internet lokacije, servere i mreže sa saobraćajem, čineći ih nedostupnim za legitimne korisnike.

Za bolje razumijevanje prijetnje koju predstavlja Mirai botnet, neophodno je razumjeti njegove operativne mehanizme. Mreža zaraženih uređaja funkcioniše tako što skenira internet u potrazi za ranjivim internet stvari (IoT) uređajima koristeći poznate ranjivosti i listu podrazumijevanih korisničkih imena i lozinki koje se obično koriste na ovim uređajima. Jednom kada se pronađe uređaj sa ranjivošću ili nebezbjednom prijavom, zlonamjerni softver ga inficira, pretvarajući ga u “zombija” koji se može kontrolisati na daljinu.

 

Ruter ranjivosti

Nedavni talas sajber napada koji vodi do Mirai botnet mreže zaraženih uređaja koja koristi nekoliko ranjivosti nultog dana (eng. zero-day) i poznate ranjivosti (eng. n-day) na ruterima i pametnim uređajima, prvenstveno ciljajući na industrijske i kućne mreže širom sveta. U nastavku će biti riječi o nekim od ključnih ranjivosti koje koristi Mirai botnet u ovom napadu.

 

Ranjivost komande ubrizgavanja na Tenda uređajima

Ranjivost CVE-2024-41473, identifikovana je u Tenda FH1201 ruterima, što predstavlja ozbiljan rizik po bezbjednost mreže. CVE-2024-41473 je klasifikovan kao ranjivost ubrizgavanja komande sa ocjenom CVSS v3.1 od 8.0, što ukazuje na visoku ozbiljnost zbog njene sposobnosti da ugrozi povjerljivost, integritet i dostupnost. . Ova ranjivost se nalazi unutar mac parametra krajnje tačke u Tenda FH1201 ruterima, posebno utiče na verziju upravljačkog softvera (eng. firmware) 1.2.0.14. Ranjivost omogućava zlonamjernim akterima da unesu proizvoljne komande u sistem, čime dobijaju neovlaštenu kontrolu nad ruterom.

Osnovni uzrok ove ranjivosti se nalazi u neuspjehu Tenda FH1201 rutera da pravilno neutrališu posebne znakove u OS komandama prilikom obrade mac parametra. Ovaj nadzor omogućava zlonamjernim akterima da manipulišu sistemom i izvršavaju sopstvene komande, zaobilazeći sve neophodne mjere autentifikacije. To znači da bi zlonamjerni akter potencijalno mogao da pristupi osjetljivim podacima, izmjeni sistemska podešavanja ili čak potpuno sruši mrežu.

 

Ranjivost komande ubrizgavanja na DrayTek uređajima

Ranjivost CVE-2024-12987 je klasifikovana kao greška ubrizgavanja komande u krajnjoj tački interfejsa za internet upravljanje, omogućavajući zlonamjernim akterima da manipulišu sesijama i izvršavaju proizvoljne OS komande na daljinu bez autentifikacije na DrayTek Vigor 2960 i Vigor 300B ruterima sa verzijom upravljačkog softvera 1.5.1.4. Ocjena ranjivosti CVSS v3.x je 7.3, što ukazuje na visok nivo ozbiljnosti.

Ova ranjivost je posebno podmukla, jer omogućava zlonamjernim akterima da ubrizgavaju proizvoljne komande u pogođene rutere, efektivno dajući im neovlaštenu kontrolu nad ovim uređajima. Ovo može dovesti do mnoštva problema, uključujući ugrožavanje podataka, krađu identiteta, pa čak i potpuno preuzimanje uređaja. Potencijalne posljedice su dalekosežne, utičući ne samo na pojedinačne korisnike već i na preduzeća i kritičnu infrastrukturu koji se oslanjaju na ove rutere za svoje operacije.

 

Ranjivost komande ubrizgavanja na HuangDou uređajima

Ranjivost CVE-2024-9916 se nalazi unutar softvera HuangDou UTCMS V9 i dobila je CVSS v3.x ocjenu 7.3, što naglašava potrebu pažnje i napora na sanaciji. Ovo kritično bezbjednosno pitanje predstavlja značajne rizike po integritet i dostupnost sistema, uprkos svom umjerenom uticaju na povjerljivost.

Ranjivost proizilazi iz nepravilne validacije unosa parametra o u datoteci app/modules/ut-cac/admin/cli.php. Ova ranjivost omogućava udaljenim zlonamjernim akterima da izvršavaju proizvoljne OS komande bez autentifikacije ili interakcije korisnika, iskorištavajući slabost koja bi potencijalno mogla da ugrozi čitave mreže i sisteme.

 

Ranjivost zaobilaženja autentifikacije na Four-Faith uređajima

Ranjivost CVE-2024-9644 predstavlja ranjivost zaobilaženja autentifikacije koja utiče na Four-Faith F3x36 rutere koji koriste verziju upravljačkog softvera 2.0.0. Ranjivost se nalazi u bapply.cgi krajnjoj tački administrativnog internet servera. Za razliku od datoteke apply.cgi, koji sprovodi autentifikaciju, bapply.cgi dozvoljava neovlašteni pristup kritičnim postavkama rutera. To znači da zlonamjerni akteri mogu da iskoriste ovu grešku bez potrebe za bilo kakvim akreditivima, što im olakšava da steknu kontrolu nad ovim uređajima.

Implikacije ove ranjivosti su dalekosežne. Zlonamjerni akteri mogu iskoristiti ovu ranjivost da izmjene konfiguracije ili čak da je povežu sa drugim ranjivostima radi šireg kompromitovanja sistema. Kada dobiju pristup, mogu potencijalno da poremete mrežne usluge, ukradu osjetljive podatke ili koriste rutere kao lansirnu rampu za dalje napade na povezane uređaje.

 

Ranjivosti Totolink uređaja

Ranjivosti CVE-2024-2353, CVE-2024-24328 i CVE-2024-24329 su otkrivene u Totolink ruterima i predstavljaju značajnu prijetnju po bezbjednost uređaja povezanih na internet širom sveta. Ranjivosti se nalaze u mehanizmima za rukovanje HTTP zahtevima Totolink rutera i omogućavaju zlonamjernim akterima da pokrenu uslove uskraćivanja usluge ili daljinski izvrše proizvoljan kôd sa povišenim privilegijama, što potencijalno dovodi do neovlaštenog pristupa i kompromitovanja sistema.

Iskorištavanjem ovih Totolink ranjivosti, Mirai botnet bi mogao da dobije potpunu kontrolu uređaja nad pogođenim ruterima, što potencijalno dovodi do široko rasprostranjenih sajber napada.

 

Tehnike napada

Mirai botnet je zlonamjerni entitet koji se stalno razvija i koji je privukao pažnju kroz izuzetnu transformaciju, od svog početka do sada, uključujući napredne funkcije kao što su:

  • Napad grubom silom: Način rada Mirai botnet mreže zaraženih uređaja se vrti oko iskorištavanja interneta stvari (IoT) uređaja sa slabim ili podrazumijevanim lozinkama korištenjem napada grubom silom (eng. brute force attack) da bi kompromitovali naloge pogađanjem Telnet lozinki;
  • Prilagođenje zloupotrebe: Mirai botnet koristi i korištenje prilagođenih zloupotreba (eng. custom exploits) za preko 20 poznatih ranjivosti na različitim tipovima uređaja. Ova taktika omogućava ovoj mreži zaraženih uređaja da se infiltrira u široku lepezu povezanih uređaja, eksponencijalno proširujući svoj domet;
  • Napadi visokog intenziteta: Jedna od najalarmantnijih mogućnosti ove mreže zaraženih uređaja je njena sposobnost da izvrši distribuirane napade uskraćivanjem usluge (DDoS) koji prelaze 100 Gbps. Ovi nemilosrdni napadi mogu poremetiti usluge čak i na robusnoj infrastrukturi, uzrokujući široko rasprostranjeni haos i finansijske gubitke za ciljane subjekte. Primarni cilj iza ovih napada je finansijska dobit kroz pružanje distribuiranih napada uskraćivanjem usluge kao usluge za iznajmljivanje.

Sada, Mirai botnet radi sa približno 15.000 aktivnih čvorova dnevno, ciljajući na zemlje poput Kine, Rusije, Sjedinjenih Američkih Država, Turske i Irana. Ovaj globalni domet naglašava hitnu potrebu za oprezom i proaktivnim mjerama za borbu protiv ove uporne prijetnje.

 

Mogućnosti

Mirai botnet koristi koristi različite mogućnosti napada sa ciljem da preplavi mreže štetnim saobraćajem, izazivajući tako značajne poremećaje u uslugama. Širok domet ove mreže zaraženih uređaja i raznovrsna priroda njenih napada čine je izazovnom za profesionalce u sajber bezbjednosti da obuzdaju i ublaže njene efekte. U nastavku će biti riječi o ključnim tipovima napada koje Mirai botnet koristi u svojim zlonamjernim aktivnostima:

  • UDP poplava: UDP poplava (eng. UDP flood) je tehnika napada koja uključuje slanje velikog broja paketa User Datagram Protocol – UDP na određeni ciljni port na serveru. Sama količina ovih paketa preplavljuje server, čineći ga nesposobnim da odgovori na legitimne zahteve korisnika. Shodno tome, ovo dovodi do usporavanja ili čak potpunih prekida u pružanju usluga;
  • SYN napad poplavom: U napadu tehnikom SYN napad poplavom (eng. SYN flood attack), mreža zaraženih uređaja šalje nepotpune zahteve za povezivanje ciljnom serveru koristeći svoje resurse. Na taj način sprečava server da uspostavi ispravne veze sa drugim uređajima, što dovodi do pada servera ili prestanka reagovanja. Ovo može dovesti do značajnog zastoja i ometanja usluga za korisnike koji se oslanjaju na ove servere;
  • Poplava DNS upita: Mirai botnet cilja i na servere sistema imena domena (eng. domain name system – DNS) putem napada poplave DNS upita (eng. DNS query flood). U ovoj metodi, mreža zaraženih uređaja preplavljuje servere sistema imena domena (DNS) prekomjernim saobraćajem u pokušaju da ih preplavi. Kao rezultat ovog napada, server nije u stanju da ispravno razriješi imena domena, čineći internet lokacije ili usluge nedostupnima za korisnike koji pokušavaju da im pristupe;
  • HTTP poplava: Napad HTTP poplava (eng. HTTP flood) cilja na internet servere slanjem brojnih zahteva protokola za prenos hiperteksta (eng. hypertext transfer protocol – HTTP). Ovo preopterećuje servere i dovodi do zastoja na internet lokaciji, sprečavajući korisnike da dobiju pristup pogođenim lokacijama. Sam obim ovih zahteva uzrokuje preopterećenje servera, što dovodi do usporavanja ili potpunog prekida pružanja usluga;
  • GRE poplava: Pored gore navedenih napada, Mirai botnet takođe koristi GRE poplavu (eng. generic routing encapsulation – GRE) kao napad. U ovoj metodi, mreža zaraženih uređaja koristi GRE pakete za lažiranje izvornih IP adresa i slanje ogromnih količina podataka mrežama. Ovo preplavljuje ciljanu mrežnu infrastrukturu, izazivajući probleme sa povezivanjem koji na kraju ometaju usluge za korisnike koji se oslanjaju na ove mreže.

Sve ove mogućnosti različitih tehnika napada koje koristi Mirai botnet naglašavaju njen potencijal za široko rasprostranjeno ometanje i izazove sa kojima se suočavaju organizacije i bezbjednosni timovi u njenom obuzdavanju.

 

ZAKLJUČAK

Iskorištavanje ranjivosti rutera od strane Mirai botnet mreže zaraženih uređaja naglašava važnost davanja prioriteta bezbjednosti internet stvari (IoT) uređaja u današnjem međusobno povezanom svetu. Kako se više uređaja povezuje, površina napada se širi, zbog čega je od suštinskog značaja za primjena robusnih mjera bezbjednosti kako bi se zaštitile mreže od takvih prijetnji.

Međutim, borba protiv ovakvih prijetnji zahteva kolektivnu akciju. Organizacije moraju da daju prioritet razmjeni obavještajnih podataka o prijetnjama i da sarađuju jedna sa drugom kako bi ostale informisane o novim prijetnjama. Vlade takođe imaju ulogu u sprovođenju propisa o sajber bezbjednosti i promovisanju najboljih praksi u okviru industrije.

Na kraju krajeva, na svakoj organizaciji je da preuzme odgovornost za sopstvenu bezbjednost i uloži u neophodne resurse za zaštitu od prijetnji koje se razvijaju kao što je Mirai botnet.

 

ZAŠTITA

Da bi se zaštiti sistemi od ovakvih prijetnji evo nekoliko preporuka za zaštitu:

  1. Uvjeriti se da su svi ruteri i internet stvari (IoT) uređaji ažurirani sa najnovijim upravljačkim softverom koji su obezbijedili njihovi dobavljači. Ova ažuriranja često sadrže ispravke za poznate ranjivosti koje bi zlonamjerni akteri mogli da iskoriste;
  2. Isključiti funkcije daljinskog upravljanja na ruterima i internet stvari (IoT) uređajima osim ako je apsolutno neophodno. Ove funkcije mogu da obezbijede ulaznu tačku za zlonamjerne aktere ako nisu pravilno obezbijeđene;
  3. Nikako ne koristiti podrazumijevane fabričke lozinke. Koristite jake lozinke sa mješavinom velikih i malih slova, brojeva i simbola, jer to otežava zlonamjernim akterima da pogode lozinke;
  4. Redovno skenirati mreže u potrazi za ranjivim uređajima. Ukoliko se pronađu takvi uređaji, odmah respektivno primijeniti dostupna ažuriranja za otkrivene ranjivosti. Ukoliko ažuriranja nisu dostupna, pratiti savjete proizvođača za ublažavanje ranjivosti. Ako se radi o uređajima bez podrške od strane proizvođača uzeti u razmatranje njihovu hitnu zamjenu;
  5. Implementirati segmentaciju mreže da bi se izolovali kritični sistemi od ostatka mreže. Ako je jedan uređaj ugrožen, ova izolacija osigurava da zlonamjerni akteri neće imati lak pristup drugim sistemima na istoj mreži;
  6. Koristite alate za nadgledanje mreže da bi se identifikovali neobični obrasci saobraćaja koji bi mogli da ukažu na potencijalnu infekciju povezanu sa mrežom zaraženih uređaja. Rano otkrivanje može pomoći u sprečavanju napada velikih razmjera;
  7. Koristiti rješenja za zaštitu od distribuiranih napada uskraćivanjem usluge (DDoS) za filtriranje zlonamjernog saobraćaja pre nego što stigne do mreže i za ublažavanje napada velikih razmjera. Ova rješenja mogu pomoći u zaštiti od velikog obima saobraćaja koji je Mirai botnet sposoban da generiše.

Oživljavanje Mirai botnet mreže zaraženih uređaja naglašava stalnu prijetnju koju predstavljaju internet stvari (IoT) mreže zaraženih uređaja koji iskorišćavaju neispravljene ranjivosti. Prateći ove preporuke, moguće je značajno smanjiti rizik i održati bezbjedno digitalno okruženje.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.