Malware
Neue Mirai-Variante für weitere Schwachstellen
Eine neue Mirai-Variante nutzt neun Schwachstellen aus, die teilweise erstmalig betroffen sind.
Originalbeitrag von Agusuto Remillano II und Jemimah Molina
Eine neue Mirai-Variante (IoT.Linux.MIRAI.VWISI) nutzt neun Schwachstellen aus. Die bemerkenswerteste davon ist CVE-2020-10173 in Comtrend VR-3033-Routern, denn diese war von früheren Mirai-Varianten nicht betroffen. Die meisten Schwachstellen, die diese Mirai-Variante ausnutzt, bestehen aus einer Kombination aus Alt und Neu, die dazu beitragen, ein weites Netz zu spannen, das verschiedene Arten von angeschlossenen Geräten umfasst. Die neun in dieser Kampagne verwendeten Lücken betreffen unter anderem bestimmte Versionen von IP-Kameras, Smart TVs und Routern. CVE-2020-10173 ist eine Multiple Authenticated Command Injection-Sicherheitslücke, die Angreifer dazu nutzen können, um das von den Routern verwaltete Netzwerk zu kompromittieren. Es gibt dafür einen Proof of Concept (POC), aber vor dieser neuen Variante keine bekannten Exploits.
Weitere technische Einzelheiten liefert der Originalbeitrag.
Sicherheitsempfehlungen
Die Verwendung von CVE-2020-10173 im Code dieser Variante zeigt, wie Botnet-Entwickler ihr Arsenal weiter ausbauen, um so viele Ziele wie möglich zu infizieren und die Einfallstore zu nutzen, die nicht gepatchte Geräte bieten. Vor allem neu entdeckte Schwachstellen liefern Cyberkriminellen bessere Chancen. Benutzer, die nicht wissen, dass eine Schwachstelle überhaupt existiert, können das Gerät möglicherweise nicht mehr patchen, bevor es zu spät ist.
Wie die Überwachung solcher Botnets zeigt, neigen die Hintermänner dazu, die Techniken der anderen zu kopieren, einschließlich Listen von Schwachstellen und Zugangsdaten, die ihre Erfolgschancen erhöhen.
Damit die Geräte vor den üblichen Taktiken der Botnet-Malware sicher bleiben, müssen die Benutzer bei der Sicherung ihrer angeschlossenen Geräte bewährte Verfahren befolgen. Dazu gehören die folgenden:
- Sicherheitslücken patchen und Updates aufspielen, sobald sie verfügbar sind.
- Netzwerke segmentieren, um die Ausbreitung von Infektionen zu einzugrenzen.
- Starke Passwörter nutzen und die standardmäßigen möglichst schnell ändern.
- Sichere Einstellungen für die Geräte wählen, um keine unvorhergesehenen Einfallstore entstehen zu lassen.
Vernetzte Geräte können auch mit Sicherheitssoftware wie Trend Micro™ Home Network Security und Trend Micro™ Home Network SecuritySDK geschützt werden. Diese überprüfen den Internet-Verkehr zwischen den Routern und allen vernetzten Geräten. Zudem unterstützen sie Nutzer, Schwachstellen zu finden.
Deep Discovery™ Inspector schützt die Anwender vor diesen Angriffen über folgende DDI-Regeln:
- 2452 – Wget Commandline Injection
- 2544 – JAWS Remote Code Execution Exploit – HTTP (Request)
- 2575 – Command Injection via UPnP SOAP Interface – HTTP (Request)
- 2692 – LINKSYS Unauthenticated Remote Code Execution Exploit – HTTP (Request)
- 2713 – AVTECH Command Injection Exploit – HTTP (Request)
- 2786 – ThinkPHP 5x Remote Code Execution – HTTP (Request)
- 2865 – CVE-2018-17173 LG Supersign Remote Code Execution – HTTP (Request)
- 4689 – Comtrend – Remote Command Execution Exploit – HTTP (REQUEST)