Старый IoT-ботнет Hajime теперь нацелен на уязвимые устройства MikroTik

Олег Иванов 29 Марта 2018 - 09:27

...

Старый IoT-ботнет Hajime теперь нацелен на уязвимые устройства MikroTik

Эксперты в области безопасности последние несколько дней сообщают о массовых сканированиях, осуществляемых IoT-ботнетом Hajime, который пытается найти непропатченные устройства MikroTik и заразить их.

Все началось в воскресение, 25 марта, в этот день эксперты отметили подозрительные сканирования порта 8291.

Например, исследователь Мазафуми Негиши (Masafumi Negishi) сообщил об этом в Twitter:

«Новый образец Hajime с 26 марта сканирует большой диапазон tcp-портов. Среди сканируемых портов: 80, 81, 82, 8080, 8081, 8082, 8089, 8181, 8291 и 8880. Нам удалось зафиксировать эту активность благодаря нашим ханипотам (honeypots)», — пишет господин Негиши.

Похожее заявление в Twitter сделала компания 360 Netlab:

«Старый ботнет 360 Netlab возвращается с новым эксплойтом, использующим брешь, которая была раскрыта 13 дней назад», — пишет 360 Netlab.

Первыми, кто обнаружил сканирование, были исследователи из команды Netlab, они сообщили, что ботнет Hajime выполнил более 860 000 сканирований за последние три дня. В этой кампании злоумышленники пытаются использовать уязвимость, известную как «Chimay Red», затрагивающую прошивку MikroTik RouterOS 6.38.4 и боле ранние версии. Эта уязвимость позволяет выполнять код и использовать устройство в своих целях.

Механизм заражения в этой кампании следующий — Hajime сканируют случайные IP-адреса по порту 8291, целью этого является обнаружение уязвимого устройства MikroTik. Как только вредонос находит такое устройство, он пытается заразить его, используя общедоступный пакет эксплойтов, который отправляется на один из портов: 80, 81, 82, 8080, 8081, 8082, 8089, 8181 и 8880.

После успешного заражения зараженное устройство также начинает сканирование, чтобы заразить другие маршрутизаторы MikroTik.

Напомним, что в 2016 году мы писали про Hajime, который управлялся посредством P2P и заражал IoT-устройства.

Что касается MikroTik, то подробности бреши, которую также использовал вредонос Slingshot, были опубликованы около десяти дней назад.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Декабря 2024 - 10:27

Уязвимости сайтов Общее

Критическая брешь в Apache Struts используется для поиска уязвимых серверов

Уязвимость во фреймворке с открытым исходным кодом Apache Struts 2 уже вовсю используется в реальных атаках киберпреступников. Проблема в настоящее время отслеживается под идентификатором CVE-2024-53677.

Apache Struts предназначен для создания Java EE веб-приложений и используется в ряде серьёзных организаций, включая госсектор, сферу онлайн-торговли, финансовые учреждения и т. п.

Представители Apache на прошлой неделе раскрыли информацию о CVE-2024-53677. Уязвимость получила 9,5 балла (статус критическаой) по шкале CVSS 4.0.

Согласно описанию, корень проблемы кроется в логике загрузки файлов, которая допускает возможность изменения локального пути (path traversal, загрузку вредоносных файлов и удалённое выполнение кода.

Уязвимость затрагивает версии Struts с 2.0.0 по 2.3.37, с 2.5.0 по 2.5.33, а также с 6.0.0 по 6.3.0.2.

«Атакующие могут управлять параметрами загрузки файлов, что в определённых обстоятельствах приводит к удалённому выполнению кода», — пишут разработчики.

К сожалению, соответствующий эксплойт уже доступен в Сети, что привело к росту числа соответствующих кибератак. Злоумышленники загружают файл «exploit.jsp», причём используют при этом лишь один IP-адрес — 169.150.226.162.

В версии Struts 6.4.0 разработчики ввели новый механизм загрузки файлов, устраняющий описанную брешь. Всем организациям рекомендуется установить её.