Специалисты компании Juniper Networks выявили масштабную кампанию, в ходе которой печально известный ботнет Mirai проводит систематическое сканирование интернета в поисках уязвимых маршрутизаторов Session Smart Router (SSR). Основной целью злоумышленников становятся устройства, на которых до сих пор используются стандартные учетные данные для доступа.
Механизм атаки и потенциальные угрозы
После успешного обнаружения маршрутизатора с настройками по умолчанию, вредоносное ПО получает несанкционированный доступ к устройству. Это позволяет операторам ботнета удаленно выполнять произвольные команды, что создает серьезную угрозу для безопасности корпоративных сетей. Скомпрометированные устройства впоследствии используются для проведения распределенных атак отказа в обслуживании (DDoS).
Хронология и масштаб инцидента
Первые признаки вредоносной активности были зафиксированы 11 декабря 2023 года, когда несколько клиентов Juniper Networks сообщили о подозрительном поведении своих SSN-платформ. Эксперты компании подчеркивают, что все устройства, на которых не были изменены пароли по умолчанию, следует считать потенциально скомпрометированными, поскольку стандартные учетные данные SSR были добавлены в базы данных вредоносного ПО.
Рекомендации по защите и восстановлению
Для предотвращения компрометации специалисты Juniper Networks настоятельно рекомендуют следующие меры безопасности:
1. Немедленно изменить стандартные учетные данные на всех маршрутизаторах Session Smart
2. Внедрить политику использования сложных уникальных паролей
3. Проверить системы на наличие индикаторов компрометации
В случае обнаружения признаков заражения единственным надежным способом устранения угрозы является полное переустановление программного обеспечения маршрутизатора (reimaging). Это обусловлено невозможностью точно определить масштаб внесенных злоумышленниками изменений и объем похищенных данных. Только после выполнения полной переустановки и настройки устройства с новыми учетными данными его можно безопасно вернуть в эксплуатацию.
