Falha permite Botnet Mirai disseminar payloads
9 de Maio de 2024

Duas falhas de segurança recentemente divulgadas em dispositivos Ivanti Connect Secure (ICS) estão sendo exploradas para implantar a infame botnet Mirai.

É o que apontam as descobertas do Juniper Threat Labs, que afirmou que as vulnerabilidades CVE-2023-46805 e CVE-2024-21887 têm sido aproveitadas para entregar o payload da botnet.

Enquanto o CVE-2023-46805 é uma falha de bypass de autenticação, o CVE-2024-21887 é uma vulnerabilidade de injeção de comando, permitindo assim que um atacante encadeie as duas em uma cadeia de exploração para executar código arbitrário e assumir o controle de instâncias suscetíveis.

Na cadeia de ataque observada pela empresa de segurança de rede, o CVE-2023-46805 é explorado para ganhar acesso ao endpoint "/api/v1/license/key-status/;", que é vulnerável a injeção de comando, e injetar o payload.

Conforme previamente detalhado pela Assetnote em sua análise técnica profunda do CVE-2024-21887, o exploit é acionado por meio de uma requisição para "/api/v1/totp/user-backup-code/" para implantar o malware.

"Esta sequência de comandos tenta apagar arquivos, baixa um script de um servidor remoto, define permissões de execução e executa o script, potencialmente levando a um sistema infectado", disse o pesquisador de segurança Kashinath T Pattan.

O shell script, por sua vez, é projetado para baixar o malware da botnet Mirai de um endereço IP controlado pelo atacante ("192.3.152[.]183").

"A descoberta da entrega da botnet Mirai por meio desses exploits destaca a paisagem sempre em evolução das ameaças cibernéticas", disse Pattan.

O fato de o Mirai ter sido entregue por essa vulnerabilidade também significa que a implantação de outros malwares nocivos e ransomware é esperada.

Este desenvolvimento surge enquanto a SonicWall revelou que um executável falso do Windows File Explorer ("explorer.exe") foi encontrado instalando um minerador de criptomoedas.

O vetor de distribuição exato do malware atualmente é desconhecido.

"Ao ser executado, ele solta arquivos maliciosos no diretório /Windows/Fonts/, incluindo o arquivo principal do minerador de cripto, um arquivo batch contendo comandos maliciosos para iniciar o processo de mineração", disse a SonicWall.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...