图片来源:
PaloAltoNetworks
自年开始大举锁定物联网(IoT)设备的殭屍网络病毒Mirai,以往目标多半是针对家用连网设备,像是、监视器等,入侵受害设备的手法也从暴力破解密码,演变成滥用设备的漏洞。而最近2到3年,这个殭屍网络家族目标转向企业运用的物联网设备,像是等,甚至是。
但最近PaloAltoNetworks自2月中旬发现的Mirai攻击行动,黑客先後锁定了9个漏洞,对於不同类型的网络设备发动攻击,当中包含了SonicWallSSLVPN设备、D-LinkDNS-防火墙、NetgearProSAFEPlus网络交换器、NetisWF无线路由器,还有设备管理平台Yealink,以及MicroFocus云端服务自动化维运系统(AIOps)的报告模块OperationBridgeReporter等,与先前被揭露的Mirai殭屍网络病毒攻击最大的不同点,就是这次攻击者锁定的设备类型非常多维,但每一类却又都只有针对一种厂商或是特定型号的设备下手。
这起攻击事故PaloAlto最早自2月16日开始,发现新的Mirai变种病毒锁定多种企业连网设备的漏洞下手。这些漏洞存在於SonicWallSSLVPN设备(VisualDoor)、D-LinkDNS-防火墙(CVE--)、NetgearProSAFEPlus网络交换器(CVE--)、NetisWF无线路由器(CVE--)等。此外,还有3个是未知漏洞。
事隔一周後,PaloAlto於23日看到其中1个IP位址被更新,攻击者搭配设备管理平台Yealink的漏洞CVE--、CVE--,来下载Mirai恶意程序。但到了3月,他们又发现黑客运用不同的网络设备漏洞进行攻击。3月3日,该公司再度看到此起攻击中的IP位址,三分之一滥用了CVE--,这是存在於MicroFocusOperationBridgeReporter的漏洞。13日,PaloAlto再度看到黑客滥用NetgearProSAFEPlus网络交换器的漏洞进行攻击。
PaloAlto指出,截至3月15日,这起攻击行动仍在进行。一旦漏洞滥用成功,攻击者便会试图下载恶意壳层指令码,藉此下载与执行Mirai变种病毒,以及进行暴力破解密码等,他们也呼吁企业要加以防范。
攻击者运用多为重大等级的漏洞
针对此起攻击行动,该公司提供入侵指针,以及黑客已经滥用的网络设备漏洞信息,以便企业加以防范。其中,值得留意的是,PaloAlto指出黑客目前总共滥用9个漏洞,而且这些漏洞多半是今年发现的新漏洞,有些尚未取得CVE编号,甚至有部分是尚未确定攻击目目标漏洞,而且不少是重大漏洞。
以下是PaloAlto列出此起Mirai变种病毒攻击遭到滥用的漏洞:
1.
VisualDoor
漏洞锁定目标、手法:SonicWallSSLVPN设备命令注入漏洞影响程度:重大
2.
CVE--
漏洞锁定目标、手法:D-LinkDNS-防火墙设备RCE漏洞影响程度:重大
3.
CVE--、CVE--
漏洞锁定目标、手法:Yealink设备管理系统的RCE漏洞影响程度:重大
4.
CVE--
漏洞锁定目标、手法:MicroFocusOperationBridgeReporter的RCE漏洞,存在於该软件10.40版影响程度:重大
5.
CVE--
漏洞锁定目标、手法:NetisWF无线路由器的PCE漏洞影响程度:高
6.
CVE--
漏洞锁定目标、手法:NetgearProSAFEPlus网络交换器的不需身分验证的RCE漏洞影响程度:重大
7.未确认的RCE漏洞
漏洞锁定目标、手法:RCE漏洞,攻击目标不明影响程度:N/A
8.未确认的RCE漏洞
漏洞锁定目标、手法:RCE漏洞,攻击目标不明影响程度:N/A
9.未知漏洞
漏洞锁定目标、手法:曾被另一个殭屍网络病毒Moobot滥用,但确切攻击目标不明影响程度:N/A