Mirai-Botnet-Variante Mukashi zielt auf Zyxel-NAS

Publiziert am 21. März 2020 von Günter Born

[English]Es gibt eine neue Variante des Mirai-Botnet mit dem Namen Mukashi. Die Angreifer haben dabei vor allem ungepatchte Zyxel-NAS-Geräte im Blick, auf denen das Botnet installiert werden soll.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

ZyXEL-Schwachstelle CVE-2020-9054

Mehrere NAS-Geräte (Network-Attached Storage) von ZyXEL enthalten eine Pre-Authentication Command Injection-Schwachstelle, die es einem Remote-Angreifer ohne Anmeldung ermöglichen könnte, beliebigen Code auf einem verwundbaren Gerät auszuführen. Dazu wurde am 24. Februar 2020 diese Sicherheitswarnung herausgegeben. Ich hatte im Blog-Beitrag Schwachstelle CVE-2020-9054 in ZyXEL NAS-Modellen darüber berichtet.

Mukashi-Botnet zielt auf Zyxel-NAS-Geräte

ZDNet berichtet hier, dass Cyber-Kriminelle die Schwachstelle CVE-2020-9054 gezielt ausnutzen, um Zyxel NAS-Geräte anzugreifen. Die Malware mit dem Namen Mukashi verwendet Brute-Force-Angriffe mit verschiedenen Kombinationen von Standard-Anmeldeinformationen, um sich bei Zyxel-NAS-Geräten anzumelden. Anschließend versucht die Malware die Kontrolle über diese Geräte zu übernehmen und diese einem Botnet hinzuzufügen. Das Botnet kann beispielsweise zur Durchführung von DDoS-Angriffen (Distributed Denial of Service) verwendet werden.

Mukashi nutzt die oben erwähnte Schwachstelle (CVE-2020-9054) in Zyxel-NAS-Geräten mit Firmware-Version 5.21 aus. Anschließend werde Remote Code Execution-Angriffe ausgeführt, wie Sicherheitsforschern von Palo Alto Networks beobachten konnten. Die Malware scannt seit mindestens dem 12. März die TCP-Ports nach potenziellen Zielen und startet Brute-Force-Angriffe, um gängige Kombinationen von Benutzernamen und Passwörtern zu umgehen. Sobald die Anmeldung umgangen wurde, stellt Mukashi eine Verbindung zu einem Befehls- und Kontrollserver her, der Befehle zur Durchführung von DDoS-Angriffen erteilen kann.

Bei der Code-Analyse der Mukashi-Malware stellten die Sicherheitsforscher fest, dass dieser, trotz Differenzen, zu großen Teilen mit dem Mirai-Botnet übereinstimmt. Das Mirai-Botnet legte Ende 2016 große Teile des Internets lahm oder verlangsamte Webseiten durch DDoS-Angriffe. Der Mirai-Quellcode wurde online veröffentlicht, so dass Cyberkriminelle über die Werkzeuge zum Aufbau eines Botnetzes verfügen.

Zyxel hat die Schwachstelle, die Network Attached Storage- und Firewall-Produkte betrifft, letzten Monat gepatcht, und es wird dringend empfohlen, dass alle Zyxel-Benutzer das Firmware-Update installieren, um die Geräte vor Mukashi-Angriffen zu schützen.

Ähnliche Artikel:
Schwachstelle CVE-2020-9054 in ZyXEL NAS-Modellen
Schwachstelle (CVE-2020-9054) auch in Zyxel-Firewall

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.