SIKKERHET

Skadevaren bak et av de kraftigste DDoS-angrepene noensinne er på ferde igjen

Sikkerhetsselskap oppdaget ny utgave av Mirai.

Det farlige Mirai-botnettet fortsetter å utgjøre en trussel.
Det farlige Mirai-botnettet fortsetter å utgjøre en trussel. Illustrasjonsfoto: Colourbox/31293993
18. mars 2021 - 17:00

Mirai er navnet på en skadevare som infiserer nettverksenheter og bruker dem som ledd i et stort botnett til å utføre kraftige DDoS-angrep, eller tjenestenektangrep på norsk. Nå har sikkerhetsforskere oppdaget en ny utgave av skadevaren som er aktiv i skrivende stund.

Palo Alto Networks (via Threatpost) rapporterer at de har funnet en ny Mirai-iterasjon som angriper nettverksenheter fra SonicWall, Netgear og D-Link, i tillegg til et antall andre IoT-enheter, via kritiske sårbarheter i enhetene.

Pågår ennå

– Angrepene pågår fortsatt i skrivende stund. Etter vellykket utnyttelse av sårbarhetene forsøker angriperne å laste ned et ondsinnet «shell script» med ytterligere infeksjonsadferd slik som nedlasting og kjøring av Mirai-varianter og «brute force»-programmer, skriver Palo Alto.

Noen av angrepene skal ha funnet sted bare timer etter at sårbarhetene ble kjent, ifølge sikkerhetsselskapet. Det dreier seg om fem kjente sårbarheter i nettverksenheter og tre hittil ukjente sårbarheter i IoT-enheter.

En liste over sårbarhetene og hvilke enheter det gjelder finner du nederst i artikkelen.

Fikser for alle sårbarhetene skal allerede være tilgjengelige, men botnettet retter seg altså mot enheter som ennå ikke har installert fiksene.

Lett mål

– IoT-området forblir et lett tilgjengelig mål for angripere. Mange sårbarheter er veldig enkle å utnytte og kan, i noen tilfeller, ha katastrofale konsekvenser. Vi råder kunder sterkt til å få på plass patcher så snart som mulig, skriver sikkerhetsselskapet.

Mirai-botnettet har blant annet blitt brukt i noen av de kraftigste DDoS-angrepene noensinne. For noen år siden ble en sikkerhetsforsker utsatt for et angrep med et trafikkvolum på 620 gigabit med data per sekund via botnettet, som digi.no rapporterte. Dette var på daværende tidspunkt ny rekord, som siden er blitt forbigått av enda heftigere angrep.

Siden skadevaren først ble oppdaget er det blitt registrert nye utgaver som utnytter flere typer nettverks- og IoT-enheter, og utgaver som benytter seg av det anonymiserende Tor-nettverket.

Listen over sårbarheter og enheter som er rammet:

ID Sårbarhet Beskrivelse Alvorlighetsgrad
1 VisualDoor SonicWall SSL-VPN Remote Command Injection Vulnerability Kritisk
2 CVE-2020-25506 D-Link DNS-320 Firewall Remote Command Execution Vulnerability Kritisk
3 CVE-2021-27561 and CVE-2021-27562 Yealink Device Management Pre-Auth ‘root’ Level Remote Code Execution Vulnerability Kritisk
4 CVE-2021-22502 Remote Code Execution Vulnerability in Micro Focus Operation Bridge Reporter (OBR), affecting version 10.40 Kritisk
5 CVE-2019-19356 Resembles the Netis WF2419 Wireless Router Remote Code Execution Vulnerability Høy
6 CVE-2020-26919 Netgear ProSAFE Plus Unauthenticated Remote Code Execution Vulnerability Kritisk
7 Uidentifisert Remote Command Execution Vulnerability Against an Unknown Target Ukjent
8 Uidentifisert Remote Command Execution Vulnerability Against an Unknown Target Ukjent
9 Ukjent sårbarhet Vulnerability Used by Moobot in the Past, Although the Exact Target is Still Unknown Ukjent
Typisk oppbygging av et botnett.
Les også

Ny variant av beryktet botnet utnytter enda flere IoT-enheter

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.