Ausnutzung von Schwachstellen
Mirai-Varianten zielen auf Videoüberwachungssysteme
Sicherheitsforscher von Trend Micro haben zwei Varianten der Internet of Things (IoT)-Malware, Mirai, gefunden. Diese nutzen neue Verbreitungsmethoden und verschaffen sich Zugang über eine Schwachstelle in Videoüberwachungs-Speichersystemen.
Von Trend Micro
Sicherheitsforscher von Trend Micro haben zwei Varianten der Internet of Things (IoT)-Malware, Mirai, gefunden. Die beiden Varianten, SORA (IoT.Linux.MIRAI.DLEU) und UNSTABLE (IoT.Linux.MIRAI.DLEV) nutzen neue Verbreitungsmethoden und verschaffen sich Zugang über die Schwachstelle CVE-2020-6756 in Rasilient PixelStor5000-Videoüberwachungs-Speichersystemen.
Mirai ist eine Malware, die aktiv nach IoT-Geräten mit Schwachstellen sucht, sie infiziert und in Bots umwandelt. Die Bots wiederum finden dann weitere Geräte, die sie infizieren können. Im Laufe der Jahre gab es bereits einige Varianten, etwa solche, die Router und Smart TVs infizierten. Die Mirai-Botnets lassen sich für Distributed Denial of Service (DDoS)-Angriffe einsetzen, die von vielen Cyberkriminellen als Dienstleistung angeboten werden. Dafür benötigen sie eine Vielzahl von Bots, und deshalb müssen sie ihre Botnets immer weiter vergrößern.
Die gerade entdeckten Varianten nutzen die Schwachstelle (CVE-2020-6756) in Videoüberwachungs-Speichersystemgeräten. Darüber können sie Code aus der Ferne ausführen. Ähnlich wie bei früheren Varianten laden die Angreifer ein Shell Script vom Command-and-Control (C&C)-Server herunter und führen dies aus. Das Shell Script wiederum lädt die Payload, die SORA oder UNSTABLE enthält, herunter und führt sie aus. Technische Einzelheiten zu den entsprechenden Angriffen beinhaltet der Originaleintrag.
Sicherheit für IoT-Geräte
Die Ausnutzung der neuen Schwachstelle verdeutlicht, wie Cyberkriminelle ständig nach unsicheren und angreifbaren IoT-Systemen suchen. Anwender können ihre IoT-Geräte schützen, wenn sie unter anderem folgende Best Practices beachten:
- Ändern des Standard-Passworts auf Routern und anderen IoT-Geräten,
- Sicherheitseinstellungen korrekt aufsetzen und nicht genutzte Funktionen des Geräts deaktivieren,
- Netzwerkverkehr auf zunehmende Verbindungsversuche zu unbekannten Domänen streng überwachen,
- Patches und Updates ausrollen, um Schwachstellen zu schließen und einen Schutz vor alten und neuen Bedrohungen aufzubauen.
Trend Micro™ Home Network Security unterstützt das Monitoring von Internetverkehr zwischen dem Router und den vernetzten Geräten. Die Lösung bietet über die folgenden Regeln Schutz für einige Schwachstellen, die Mirai ausnutzt:
- 1134610 - WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561)
- 1134611 - WEB Dasan GPON Routers Command Injection -1.2 (CVE-2018-10561)
- 1134891 - WEB Dasan GPON Routers Command Injection -1.3 (CVE-2018-10561)
- 1134892 - WEB Dasan GPON Routers Command Injection -1.4 (CVE-2018-10561)
- 1134287 - WEB Huawei Home Gateway SOAP Command Execution (CVE-2017-17215)
- 1135215 - WEB ThinkPHP Remote Code Execution
Für den Schutz von Endpoints können Nutzer Trend Micro™ Security und Trend Micro™ Internet Security einsetzen. Trend Micro™ Deep Discovery™ Inspector kann Unternehmen vor gezielten Angriffen schützen, denn die Lösung überwachst Ports und Netzwerkprotokollen, um fortgeschrittene Bedrohungen zu erkennen.