Новый ботнет использует уязвимости в сетевых видеорегистраторах и маршрутизаторах TP-Link

Новый ботнет на базе Mirai активно эксплуатирует уязвимость удалённого выполнения кода, которая, по-видимому, не исправлена ​​в сетевых видеорегистраторах DigiEver DS-2105 Pro. Кампания стартовала в октябре и нацелена на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.

Одна из уязвимостей была задокументирована исследователем TXOne Та-Лун Йеном и представлена ​​в прошлом году на конференции по безопасности DefCamp в Бухаресте. Исследователь тогда сказал, что проблема затрагивает несколько устройств DVR. Исследователи Akamai заметили, что ботнет начал эксплуатировать уязвимость в середине ноября, но обнаружили доказательства того, что кампания была активна как минимум с сентября.

Помимо уязвимости DigiEver, новый вариант вредоносного ПО Mirai также нацелен на CVE-2023-1389 на устройствах TP-Link и CVE-2018-17532 на маршрутизаторах Teltonika RUT9XX.

Для взлома сетевых видеорегистраторов DigiEver используется уязвимость удалённого выполнения кода (RCE), и хакеры нацелены на URI '/cgi-bin/cgi_main. cgi', который неправильно проверяет вводимые пользователем данные. Это позволяет удаленным неаутентифицированным злоумышленникам вводить команды, такие как 'curl' и 'chmod', через определённые параметры, такие как поле ntp в запросах HTTP POST.

В Akamai утверждают, что атаки Mirai похожи на те, что описаны в презентации Та-Лун Йена.

С помощью инъекции команд злоумышленники получают двоичный файл вредоносного ПО с внешнего сервера и подключают устройство к своей ботнет-сети. Устойчивость достигается путем добавления заданий cron.

После того, как устройство скомпрометировано, оно используется для проведения распределённых атак типа «отказ в обслуживании» (DDoS) или для распространения ПО на другие