• صفحه خانگی
  • >
  • یییی اسلاید
  • >
  • یک Botnet جدید از آسیب‌پذیری‌های موجود در NVRs و روترهای ساخت شرکت TP-Link سوءاستفاده می‌کند.

یک Botnet جدید از آسیب‌پذیری‌های موجود در NVRs و روترهای ساخت شرکت TP-Link سوءاستفاده می‌کند.

یک Botnet جدید از آسیب‌پذیری‌های موجود در NVRs و روترهای ساخت شرکت TP-Link سوءاستفاده می‌کند.

یک Botnet مبتنی بر Mirai از یک مشکل امنیتی اجرای کد در دستگاه‌های DigiEver DS-2105 Pro NVRs سوءاستفاده می‌کند؛ مشکلی که هنوز ثبت و برطرف نشده است.

این کمپین از اکتبر آغاز شده و دستگاه‌های ضبط ویدیویی شبکه‌ای (NVRs) و روترهای TP-Link که دارای فریمور (Firmware) قدیمی هستند را هدف قرار می‌دهد.

یکی از آسیب‌پذیری‌هایی که در این کمپین مورد استفاده قرار گرفته است، توسط محقق TXOne، Ta-Lun Yen مستند شده و سال گذشته در کنفرانس امنیتی DefCamp در بخارست، رومانی ارائه شده است. این محقق در آن زمان گفته بود که این مشکل (آسیب‌پذیری) بر چندین دستگاه DVR تأثیر می‌گذارد.

محققان Akamai مشاهده کردند که این Botnet از اواسط نوامبر شروع به بهره‌برداری از این آسیب‌پذیری کرده است، اما شواهدی پیدا کرده‌اند که نشان می‌دهد این کمپین حداقل از سپتامبر فعال بوده است.

علاوه بر آسیب‌پذیری DigiEver، نوع جدید بدافزار Mirai همچنین CVE-2023-1389 در دستگاه‌های TP-Link و CVE-2018-17532 در روترهای Teltonika RUT9XX را هدف قرار می‌دهد.

حملات به دستگاه‌های DigiEver NVR

آسیب‌پذیری‌ای که برای نفوذ به دستگاه‌های NVR DigiEver مورد سوءاستفاده قرار گرفته، یک آسیب‌پذیری اجرای کد از راه دور (RCE) است. هکرها URI مربوط به ‘/cgi-bin/cgi_main.cgi’ را هدف قرار داده‌اند، که در آن ورودی‌های کاربر به درستی اعتبارسنجی نمی‌شود.

این آسیب‌پذیری به مهاجمان راه دور غیرمجاز اجازه می‌دهد تا فرمان‌هایی مانند curl و chmod را از طریق برخی پارامترها، مانند فیلد ntp در درخواست‌های HTTP POST تزریق کنند.

شرکت Akamai می‌گوید حملاتی که از سوی این Botnet مبتنی بر Mirai مشاهده کرده است، به نظر مشابه حملاتی هستند که در ارائه Ta-Lun Yen توضیح داده شده است.

از طریق تزریق فرمان (Command Injection)، مهاجمان فایل بدافزار را از یک سرور خارجی دانلود کرده و دستگاه را به بوت‌نت خود اضافه می‌کنند. پایداری این بدافزار با افزودن وظایف cron (زمان‌بندی‌شده) به دست می‌آید.

پس از نفوذ به دستگاه، از آن برای انجام حملات انکار خدمات توزیع‌شده (DDoS) یا برای گسترش به دستگاه‌های دیگر با استفاده از مجموعه‌های بهره‌برداری (exploit sets) و فهرست‌های اطلاعات ورود (credential lists) استفاده می‌شود.

شرکت Akamai می‌گوید نسخه جدید Mirai برای استفاده از رمزنگاری XOR و ChaCha20 و هدف قرار دادن مجموعه گسترده‌ای از معماری‌های سیستم، از جمله x86، ARM و MIPS، قابل توجه است.
Akamai  تاکید کرد که : اگرچه استفاده از روش‌های پیچیده رمزگشایی جدید نیست، اما این تغییرات نشان می‌دهد که اپراتورهای بوت‌نت‌های Mirai در حال تکامل و بهبود روش‌های خود هستند.

محققان می‌گویند: “این موضوع بیشتر قابل توجه است زیرا بسیاری از Botnet های مبتنی بر Mirai هنوز به منطق اختلال در رشته‌های متنی (string obfuscation) اصلی وابسته هستند که از کد بازیافتی استفاده می‌کند و در انتشار کد منبع اولیه بدافزار Mirai گنجانده شده بود.”

محققان اشاره می‌کنند که این Botnet همچنین از CVE-2018-17532، یک آسیب‌پذیری در روترهای Teltonika RUT9XX، و همچنین CVE-2023-1389، که بر روی دستگاه‌های TP-Link تأثیر می‌گذارد، بهره‌برداری می‌کند.

شاخص‌های نفوذ ( IoC ) و قوانین Yara برای شناسایی و مسدود کردن تهدید در انتهای گزارش Akamai موجود هستند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *