Mirai Malware-Variante V3G4 ermöglicht Fernzugriff auf IoT-Geräte über Schwachstellen

[English]Palo Alto Networks hat eine neue Variante der Mirai Malware entdeckt. Die Mirai-Variante V3G4 nutzt gleich mehrere Schwachstellen in der Firmware von IoT-Geräten aus, um einen Remote-Zugriff zu ermöglichen. Die Sicherheitsforscher von Palo Alto Networks Unit 42 beobachteten  die Mirai-Variante namens V3G4 von Juli bis Dezember 2022. Sobald die anfälligen Geräte über mehrere Schwachstellen kompromittiert sind, werden sie vollständig von Angreifern kontrolliert und werden Teil des Botnets.

Die Sicherheitsforscher teilten mir mit, dass der Angreifer die Möglichkeit habe, diese Geräte für weitere Angriffe, z. B. für Distributed Denial-of-Service-Angriffe (DDoS), zu nutzen. Die von den Security-Forschern von Palo Alto Networks aufgezeichneten Exploit-Versuche nutzen die Schwachstellen zur Verbreitung von V3G4, das auf ungeschützte Server und Netzwerkgeräte unter Linux abzielt.

Variante des Mirai-Botnets

Aufgrund des Verhaltens und der Muster, die die Forscher von Unit 42 bei der Analyse der heruntergeladenen Botnet-Client-Samples beobachtet haben, glauben sie, dass es sich bei dem Botnet-Sample um eine Variante des Mirai-Botnets handelt. Die Forscher beobachteten bereits drei Kampagnen, die die Mirai-Variante V3G4 nutzen. Aufgrund ihrer Analyse geht Palo Alto Networks davon aus, dass die Kampagnen von ein und demselben Angreifer betrieben wurden, und zwar aus den folgenden Gründen:

• Die hartkodierten Command-and-Control-Domains (C2) dieser drei Kampagnen enthalten dieselbe Zeichenfolge (8xl9).
• Die Malware-Shell-Skript-Downloader sind bei allen drei Kampagnen nahezu identisch.
• Die Botnet-Client-Samples verwenden denselben XOR-Entschlüsselungsschlüssel.
• Die Botnet-Client-Samples verwenden dieselbe „Stop List" (eine Liste von Zielprozessen, nach denen der Botnet-Client sucht und die er beendet).
• Die Botnet-Client-Samples verwenden nahezu identische Funktionen.

Zu den ausgenutzten Schwachstellen gehören:

• CVE-2012-4869: FreePBX Elastix – Schwachstelle zur Remote-Code-Ausführung
  • Gitorious: Schwachstelle zur Remote-Code-Ausführung
• CVE-2014-9727: Schwachstelle zur Remote-Code-Ausführung in der FRITZ!Box-Webcam
• Mitel AWC: Schwachstelle zur Remote-Code-Ausführung
• CVE-2017-5173: Schwachstelle in der Remote-Code-Ausführung bei Geutebruck IP-Kameras
• CVE-2019-15107: Webmin Command Injection-Schwachstelle
• Spree Commerce: Schwachstelle zur Ausführung beliebiger Befehle
• FLIR-Wärmebildkameras: Schwachstelle zur Remote-Code-Ausführung
• CVE-2020-8515: Schwachstelle zur Remote-Befehlsausführung bei DrayTek Vigor
• CVE-2020-15415: Schwachstelle zur Remote-Command-Injection bei DrayTek Vigor
• CVE-2022-36267: Schwachstelle zur Remote-Befehlsausführung bei Airspan Airspot
• CVE-2022-26134: Schwachstelle zur Remote-Code-Ausführung bei Atlassian Confluence
• CVE-2022-4257: Command-Injection-Schwachstelle im C-Data Web-Management-System

Schlussfolgerung

Die erwähnten Schwachstellen sind weniger komplex als die zuvor beobachteten Varianten, haben jedoch weiterhin kritische Sicherheitsauswirkungen, die zu Remote-Code-Ausführung führen können. Sobald ein Angreifer auf diese Weise die Kontrolle über ein anfälliges Gerät erlangt, könnte er die neu kompromittierten Geräte in sein Botnet einbinden, um weitere Angriffe wie DDoS durchzuführen. Es wird daher dringend empfohlen, Patches und Updates so schnell wie möglich zu installieren.