Исследователи из Palo Alto Networks обнаружили новые варианты IoT-ботов Mirai и Gafgyt, вооруженные эксплойтами для известных уязвимостей во фреймворке Apache Struts и решении SonicWall Global Management System.

Очередная итерация Mirai использует брешь в Apache Struts, из-за которой в прошлом году произошла масштабная утечка в американском бюро кредитных историй Equifax. Бот Gafgyt обрел эксплойт для недавно раскрытой уязвимости в GMS-системах SonicWall устаревших, снятых с поддержки версий.

«Мы столкнулись с вариантами Mirai и Gafgyt, нацеленными на системы, которые используются в основном в корпоративной среде, — заявила журналистам Threatpost эксперт Palo Alto Рукхна Нигам (Ruchna Nigam). — Зачем это понадобилось, можно лишь догадываться, но одно мы знаем точно: каналы предприятий обладают большей пропускной способностью, и это несомненный плюс для инициатора DDoS-атаки. В настоящее время операторы зловредов, по всей видимости, проводят тестирование, оценивая эффективность использования разных уязвимостей и пытаясь определить, которые из них обеспечат максимальное количество ботов для DDoS-атак».

Новый штамм Mirai был обнаружен 7 сентября; он располагает эксплойтами к 16 различным уязвимостям, в том числе к CVE-2017-5638 в Apache Struts. По словам исследователей, это первая разновидность Mirai, ориентированная на веб-фреймворк.

Эксплойт CVE-2017-5638 позволяет удаленно выполнить код посредством отправки HTTP-запроса с особым значением в заголовке Content-Type. Разработчик залатал брешь полтора года назад, однако не все пользователи поторопились установить заплатку. Наглядный пример тому — взлом систем Equifax, повлекший компрометацию персональных данных 147 млн пользователей.

Пятнадцать других уязвимостей, атакуемых Mirai-подобным зловредом, использовались этим семейством и ранее. Среди них — баги удаленного выполнения кода в роутерах от Zyxel (CVE-2017-6884), D-Link и Linksys, а также в сетевых видеорегистраторах Vacron NVR и охранных системах видеонаблюдения десятков разных вендоров.

Исследователи установили, что новые образцы Mirai загружаются с сайта, который в августе размещался на другом IP-адресе. Там же обнаружились новые образцы Gafgyt, использующие брешь CVE-2018-9866 в SonicWall GMS. Эта уязвимость тоже позволяет удаленно выполнить произвольный код; ей подвержены GMS версий 8.1 и ниже. Согласно бюллетеню разработчика, CVE-2018-9866 получила 10 баллов по шкале CVSS (из 10 возможных). Соответствующий модуль Metasploit был опубликован этим летом.

Ранее Gafgyt, он же BASHLITE, атаковал преимущественно IoT-устройства, а также роутеры производства Huawei, D-Link и Dasan. Проникнув на целевое устройство, зловред прежде всего обновляется, а затем инициирует DoS-атаку Blacknurse, способную вызвать отказ межсетевого экрана. По словам Нигам, возможность проведения таких атак появилась в Gafgyt как минимум в сентябре прошлого года.

Категории: DoS-атаки, Аналитика, Вредоносные программы, Уязвимости