Mirai-Botnet-Variante Mukashi zielt auf Zyxel-NAS

[English]Es gibt eine neue Variante des Mirai-Botnet mit dem Namen Mukashi. Die Angreifer haben dabei vor allem ungepatchte Zyxel-NAS-Geräte im Blick, auf denen das Botnet installiert werden soll.


Anzeige

ZyXEL-Schwachstelle CVE-2020-9054

Mehrere NAS-Geräte (Network-Attached Storage) von ZyXEL enthalten eine Pre-Authentication Command Injection-Schwachstelle, die es einem Remote-Angreifer ohne Anmeldung ermöglichen könnte, beliebigen Code auf einem verwundbaren Gerät auszuführen. Dazu wurde am 24. Februar 2020 diese Sicherheitswarnung herausgegeben. Ich hatte im Blog-Beitrag Schwachstelle CVE-2020-9054 in ZyXEL NAS-Modellen darüber berichtet.

Mukashi-Botnet zielt auf Zyxel-NAS-Geräte

ZDNet berichtet hier, dass Cyber-Kriminelle die Schwachstelle CVE-2020-9054 gezielt ausnutzen, um Zyxel NAS-Geräte anzugreifen. Die Malware mit dem Namen Mukashi verwendet Brute-Force-Angriffe mit verschiedenen Kombinationen von Standard-Anmeldeinformationen, um sich bei Zyxel-NAS-Geräten anzumelden. Anschließend versucht die Malware die Kontrolle über diese Geräte zu übernehmen und diese einem Botnet hinzuzufügen. Das Botnet kann beispielsweise zur Durchführung von DDoS-Angriffen (Distributed Denial of Service) verwendet werden.

Mukashi nutzt die oben erwähnte Schwachstelle (CVE-2020-9054) in Zyxel-NAS-Geräten mit Firmware-Version 5.21 aus. Anschließend werde Remote Code Execution-Angriffe ausgeführt, wie Sicherheitsforschern von Palo Alto Networks beobachten konnten. Die Malware scannt seit mindestens dem 12. März die TCP-Ports nach potenziellen Zielen und startet Brute-Force-Angriffe, um gängige Kombinationen von Benutzernamen und Passwörtern zu umgehen. Sobald die Anmeldung umgangen wurde, stellt Mukashi eine Verbindung zu einem Befehls- und Kontrollserver her, der Befehle zur Durchführung von DDoS-Angriffen erteilen kann.

Bei der Code-Analyse der Mukashi-Malware stellten die Sicherheitsforscher fest, dass dieser, trotz Differenzen, zu großen Teilen mit dem Mirai-Botnet übereinstimmt. Das Mirai-Botnet legte Ende 2016 große Teile des Internets lahm oder verlangsamte Webseiten durch DDoS-Angriffe. Der Mirai-Quellcode wurde online veröffentlicht, so dass Cyberkriminelle über die Werkzeuge zum Aufbau eines Botnetzes verfügen.

Zyxel hat die Schwachstelle, die Network Attached Storage- und Firewall-Produkte betrifft, letzten Monat gepatcht, und es wird dringend empfohlen, dass alle Zyxel-Benutzer das Firmware-Update installieren, um die Geräte vor Mukashi-Angriffen zu schützen.

Ähnliche Artikel:
Schwachstelle CVE-2020-9054 in ZyXEL NAS-Modellen
Schwachstelle (CVE-2020-9054) auch in Zyxel-Firewall


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit Botnet, Geräte, Sicherheit, Zyxel NAS verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.