Новая уязвимость может позволить Mirai «пережить» перезагрузку устройства

image

Теги: вредоносное ПО, ботнет, Интернет вещей

Эксперты обнаружили способ удаленно исправлять проблемы в устройствах, уязвимых к Mirai, но этот же метод могут использовать и преступники.

До недавнего времени все вредоносные семейства, ориентированные на устройства из категории «Интернет вещей» (Internet of Things, IoT) существовали на инфицированном устройстве только до момента его перезагрузки, в результате которой вредоносы удалялись из памяти устройства. Однако специалисты компании Pen Test Partners выявили новую уязвимость, которая могла бы позволить печально известному червю Mirai и другим IoT-вредоносам пережить перезагрузку оборудования, что привело бы к появлению постоянных IoT-ботнетов.

Как пояснил исследователь Кен Манро (Ken Munro), он и его коллеги обнаружили способ удаленно исправлять проблемы в устройствах, уязвимых к Mirai. Но подвох заключается в том, что этот же метод может использоваться для предотвращения удаления вредоносного ПО в результате перезагрузки. Эксперты отказались обнародовать подробности уязвимости в связи с опасениями, что ее могут взять на вооружение злоумышленники и создать неудаляемые версии Mirai.

Данная уязвимость была обнаружена в ходе изучения цифровых видеорегистраторов более 30 торговых марок. Помимо вышеуказанной проблемы, эксперты выявили ряд других уязвимостей в устройствах, эксплуатация которых могла бы превратить Mirai в еще более опасную угрозу. В частности некоторые видеорегистраторы содержали установленные по умолчанию учетные данные, которые могли бы пополнить список, используемый Mirai; несколько моделей видеорегистраторов позволяли удаленно выполнить команды при авторизации через порт 9527 с использованием учетных данных admin/  и admin/123456. Одна из моделей использовала ежедневно изменяемые пароли, однако все они были опубликованы в сопроводительной документации.

Наконец, исследователи обнаружили уязвимость переполнения буфера в прошивках более 1 млн видеорегистраторов, подключенных к интернету. По словам экспертов, проблема может быть проэксплуатирована через порт 80 - встроенный web-сервер, активированный по умолчанию в большинстве устройств, и предоставляющий пользователям возможность удаленно управлять видеорегистраторами. Кроме того, специалисты выявили уязвимость типа обход каталога (Directory Traversal), позволяющую получить хэши паролей устройств.

Mirai - червь и ботнет, образованный скомпрометированными устройствами из разряда «Интернет вещей» (видеопроигрыватели, «умные» веб-камеры и пр.). Инфицирование целевого устройства осуществляется посредством брутфорс-атаки на порт Telnet с использованием списка дефолтных учетных данных администратора. Оказавшись на системе, вредонос связывается с C&C-сервером злоумышленников и ожидает команды. Mirai может осуществлять DDoS-атаки и использует брутфорс для распространения на другие устройства.


comments powered by Disqus