A Juniper Networks está alertando que produtos Session Smart Router (SSR) com senhas padrão estão sendo alvo de uma campanha maliciosa que implementa o malware Mirai botnet.
A companhia informou que está emitindo o aviso após "vários clientes" relatarem comportamento anômalo em suas plataformas Session Smart Network (SSN) em 11 de dezembro de 2024.
"Esses sistemas foram infectados com o malware Mirai e, posteriormente, usados como fonte de ataques DDoS a outros dispositivos acessíveis por sua rede," disse a empresa.
Os sistemas impactados estavam todos utilizando senhas padrão.
Mirai, cujo código-fonte foi vazado em 2016, gerou várias variantes ao longo dos anos.
O malware é capaz de escanear por vulnerabilidades conhecidas, assim como credenciais padrão, para infiltrar dispositivos e alistá-los em um botnet para realizar ataques distribuídos de negação de serviço (DDoS).
Para mitigar tais ameaças, recomenda-se às organizações que mudem suas senhas imediatamente para outras fortes e únicas (se já não o fizeram), auditem periodicamente os logs de acesso em busca de sinais de atividade suspeita, utilizem firewalls para bloquear acessos não autorizados e mantenham o software atualizado.
Alguns dos indicadores associados aos ataques Mirai incluem varredura de portas incomum, tentativas frequentes de login via SSH indicando ataques de força bruta, aumento no volume de tráfego outbound para endereços IP inesperados, reinícios aleatórios e conexões de endereços IP maliciosos conhecidos.
"Se um sistema for encontrado infectado, a única maneira certa de deter a ameaça é reimaginando o sistema, pois não pode ser determinado exatamente o que pode ter sido alterado ou obtido do dispositivo," disse a empresa.
Essa notícia surge enquanto o AhnLab Security Intelligence Center (ASEC) revelou que servidores Linux mal gerenciados, particularmente serviços SSH expostos publicamente, estão sendo alvo de uma família de malware DDoS até então não documentada denominada cShell.
"cShell é desenvolvido na linguagem Go e se caracteriza por explorar ferramentas Linux chamadas screen e hping3 para realizar ataques DDoS," disse o ASEC.
Em um novo relatório publicado em 19 de dezembro de 2024, a Akamai revelou que uma vulnerabilidade de execução remota de código em DVRs DigiEver DS-2105 Pro (sem CVE) está sendo explorada por atacantes para espalhar uma variante do botnet Mirai denominada "Hail Cock" desde pelo menos outubro de 2024.
Estima-se que o botnet esteja ativo um mês antes da atividade.
A vulnerabilidade em questão foi descrita como uma escrita de arquivo arbitrário pós-autenticação que funciona em combinação com DVRs que possuem senhas fracas.
O malware instalado nos dispositivos posteriormente procede para realizar ataques de força bruta via Telnet e SSH para ampliar o tamanho do botnet.
Além da exploração RCE da DigiEver, a campanha foi observada visando outras vulnerabilidades conhecidas:
-
CVE-2023-1389
(pontuação CVSS: 8.8), uma vulnerabilidade de injeção de comando afetando roteadores TP-Link
-
CVE-2018-17532
(pontuação CVSS: 9.8), múltiplas vulnerabilidades de injeção de comando de sistema operacional não autenticadas em roteadores Teltonika RUT9XX
"Os cibercriminosos consistentemente aproveitaram o legado do malware Mirai para perpetuar campanhas de botnet por anos, e o novo botnet Hail Cock não é exceção," disseram os pesquisadores da Akamai, Kyle Lefton, Daniel Messing e Larry Cashdollar.
Um dos métodos mais fáceis para os atores de ameaças comprometerem novos hosts é visar firmware desatualizado ou hardware aposentado.
O DigiEver DS-2105 Pro, que agora tem aproximadamente 10 anos, é um exemplo.
Os fabricantes de hardware não sempre emitem correções para dispositivos aposentados, e o próprio fabricante às vezes pode estar extinto.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...