Специалисты по кибербезопасности компании Akamai выявили новую модификацию ботнета Mirai, который активно эксплуатирует критическую уязвимость в цифровых видеорегистраторах DigiEver DS-2105 Pro и атакует маршрутизаторы TP-Link с устаревшими прошивками. Масштабная вредоносная кампания началась в октябре 2023 года и продолжает активно распространяться.
Технические детали атаки
Основной вектор атаки направлен на эксплуатацию уязвимости удаленного выполнения кода (RCE) в DVR-устройствах DigiEver через компонент /cgi-bin/cgi_main.cgi. Критическая уязвимость позволяет неавторизованным злоумышленникам выполнять произвольные команды, включая curl и chmod, используя специально сформированные HTTP POST-запросы с манипуляцией параметра ntp.
Векторы распространения и функционал
Помимо атак на DigiEver, вредоносное ПО нацелено на эксплуатацию уязвимости CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 в маршрутизаторах Teltonika RUT9XX. После успешной компрометации злоумышленники встраивают вредоносный код в систему через создание cron-заданий, обеспечивая постоянное присутствие в инфицированной системе.
Кто находится под угрозой
Данная кампания ботнета Mirai затрагивает следующие группы пользователей и организаций:
- Владельцы DVR-устройств DigiEver DS-2105 Pro, подключенных к интернету без надлежащей сегментации сети
- Пользователи маршрутизаторов TP-Link с прошивками, подверженными CVE-2023-1389
- Операторы сетей с маршрутизаторами Teltonika RUT9XX, уязвимыми к CVE-2018-17532
- Малый бизнес и домашние пользователи с доступными из интернета административными интерфейсами IoT-устройств
- Интернет-провайдеры и хостинг-компании, чья инфраструктура может стать мишенью для DDoS-атак с зараженных узлов
Технические особенности нового варианта Mirai
Данная модификация ботнета отличается использованием продвинутых методов шифрования, включая XOR и ChaCha20, что затрудняет его обнаружение. Вредоносное ПО демонстрирует широкую совместимость с различными аппаратными архитектурами, включая x86, ARM и MIPS, что существенно расширяет потенциальную базу целевых устройств.
Что нужно сделать для защиты
- Обновить прошивку DVR DigiEver и маршрутизаторов TP-Link до актуальных версий, в которых устранены указанные CVE
- Отключить доступ к административному интерфейсу устройств из интернета; использовать VPN для удаленного управления
- Установить уникальные сложные пароли на всех сетевых устройствах, исключив заводские учетные данные
- Реализовать сегментацию сети: поместить IoT-устройства в отдельный VLAN, изолированный от корпоративных ресурсов
- Настроить мониторинг исходящего трафика для обнаружения аномальной активности, характерной для участия в DDoS-атаках
Скомпрометированные устройства активно используются злоумышленниками для проведения распределенных атак типа «отказ в обслуживании» (DDoS) и дальнейшего распространения инфекции. Ботнет использует заранее подготовленные наборы эксплоитов и базы скомпрометированных учетных данных для автоматизированного заражения новых устройств.
