[English]Es gibt eine neue Variante des Mirai-Botnet mit dem Namen Mukashi. Die Angreifer haben dabei vor allem ungepatchte Zyxel-NAS-Geräte im Blick, auf denen das Botnet installiert werden soll.
Anzeige
ZyXEL-Schwachstelle CVE-2020-9054
Mehrere NAS-Geräte (Network-Attached Storage) von ZyXEL enthalten eine Pre-Authentication Command Injection-Schwachstelle, die es einem Remote-Angreifer ohne Anmeldung ermöglichen könnte, beliebigen Code auf einem verwundbaren Gerät auszuführen. Dazu wurde am 24. Februar 2020 diese Sicherheitswarnung herausgegeben. Ich hatte im Blog-Beitrag Schwachstelle CVE-2020-9054 in ZyXEL NAS-Modellen darüber berichtet.
Mukashi-Botnet zielt auf Zyxel-NAS-Geräte
ZDNet berichtet hier, dass Cyber-Kriminelle die Schwachstelle CVE-2020-9054 gezielt ausnutzen, um Zyxel NAS-Geräte anzugreifen. Die Malware mit dem Namen Mukashi verwendet Brute-Force-Angriffe mit verschiedenen Kombinationen von Standard-Anmeldeinformationen, um sich bei Zyxel-NAS-Geräten anzumelden. Anschließend versucht die Malware die Kontrolle über diese Geräte zu übernehmen und diese einem Botnet hinzuzufügen. Das Botnet kann beispielsweise zur Durchführung von DDoS-Angriffen (Distributed Denial of Service) verwendet werden.
Mukashi nutzt die oben erwähnte Schwachstelle (CVE-2020-9054) in Zyxel-NAS-Geräten mit Firmware-Version 5.21 aus. Anschließend werde Remote Code Execution-Angriffe ausgeführt, wie Sicherheitsforschern von Palo Alto Networks beobachten konnten. Die Malware scannt seit mindestens dem 12. März die TCP-Ports nach potenziellen Zielen und startet Brute-Force-Angriffe, um gängige Kombinationen von Benutzernamen und Passwörtern zu umgehen. Sobald die Anmeldung umgangen wurde, stellt Mukashi eine Verbindung zu einem Befehls- und Kontrollserver her, der Befehle zur Durchführung von DDoS-Angriffen erteilen kann.
Bei der Code-Analyse der Mukashi-Malware stellten die Sicherheitsforscher fest, dass dieser, trotz Differenzen, zu großen Teilen mit dem Mirai-Botnet übereinstimmt. Das Mirai-Botnet legte Ende 2016 große Teile des Internets lahm oder verlangsamte Webseiten durch DDoS-Angriffe. Der Mirai-Quellcode wurde online veröffentlicht, so dass Cyberkriminelle über die Werkzeuge zum Aufbau eines Botnetzes verfügen.
Anzeige
Zyxel hat die Schwachstelle, die Network Attached Storage- und Firewall-Produkte betrifft, letzten Monat gepatcht, und es wird dringend empfohlen, dass alle Zyxel-Benutzer das Firmware-Update installieren, um die Geräte vor Mukashi-Angriffen zu schützen.
Ähnliche Artikel:
Schwachstelle CVE-2020-9054 in ZyXEL NAS-Modellen
Schwachstelle (CVE-2020-9054) auch in Zyxel-Firewall
Anzeige