Af Eskil Sørensen, 24/11/23
En nyt Mirai-baseret malware ved navn 'InfectedSlurs' har udnyttet to 0-dags ’remote code execution’-sårbarheder (RCE) til at inficere routere og network video recorders (NVR).
Det skriver Bleeping Computer.
Malwaren har til formål at gøre enhederne til en del af et botnet, der kan iværksætte DDoS-angreb. Sandsynligvis på lejebasis.
Det er netværks- og cybersikkerhedsvirksomheden Akamai, der gjorde opdagelsen, da de fandt malwaren i en honyepot. Af sikkerhedsmæssige årsager nævner Akamai ikke, hvilke sårbarheder der er tale om og hvilke produkter, der er omfattet, eftersom sårbarhederne ikke er rettet endnu. Det afsløres dog, at der er tale om en udokumenterede 'RCE-uhensigtsmæssigheder’, som botnettet udnytter.
Usædvanlig indgang
Bleeping Computer skriver, at Akamais sikkerhedsteam opdagede botnettet i oktober 2023, da de bemærkede usædvanlig aktivitet på en sjældent brugt TCP-port rettet mod deres honeypots. Aktiviteten viste sig at være lavfrekvente sonder, der forsøgte at opnå godkendelse via HTTP POST-anmodninger. Disse anmodninger blev efterfulgt af et forsøg på ’command injection’.
Ud fra disse oplysninger gennemførte Akamai-teamet en internetbaseret scanning og fandt, at de angrebne enheder var knyttet til en specifik producent af network video recorder. Da der ikke fandtes noget CVE-nummer i tilknytning til disse sårbarheder, tog Akamai fat i producenten og gjorde opmærksom på, at de havde fundet en 0-dagssårbarhed i produktet, som er under aktiv udnyttelse ’in-the-wild’.
Akamai har i sin research fundet, at botnettet også er rettet mod trådløse LAN-routere, der typisk anvendes af hjemmebrugere og på hoteller. Denne router har således også en 0-dagssårbarhed, som er under udnyttelse.
Begge sårbarheder forventes rettet i december.