Ботнет Mirai использует новую уязвимость, которая затрагивает компании по всему миру

Вредоносные программы или вредоносный код существует уже более 40 лет, но их использование для получения контроля над группой подключенных к Интернету систем в так называемом "ботнете" является относительно новым явлением. Ботнеты стояли за некоторыми из самых наиболее разрушительных инцидентов безопасности за последние 10 лет, и, следовательно, компании по всему миру идут на многое, чтобы противостоять этой угрозе.

Примером такого рода угрозой является ботнет Mirai, ответственный за одну из крупнейших в истории атак типа "отказ в обслуживании" (DDoS), от которой пострадали такие известные бренды как Twitter, Netflix, Spotify или PayPal. Эта вредоносная программа заразила тысячи устройств Интернета вещей и затаилась в них до тех пор, пока ее создатели не активировали ее 21 октября 2016 года для атаки на DNS-провайдера Dyn. Сервисы этой компании и ее клиентов были приостановлены или прерваны на несколько часов.

Первоначально казалось, что сфера применения атак Mirai была ограничена устройствами Интернета вещей, хотя это предположение было отвергнуто, когда позже были обнаружены новые случаи. Кибер-преступники начали использовать Mirai, чтобы открыть новый фронт, атакуя устройства под управлением Linux. Ботнеты Mirai теперь пытаются использовать критическую RCE-уязвимость в программном обеспечении F5 BIG-IP.

Последняя цель Mirai: устройства BIG-IP

Устройства BIG-IP используются в правительственных сетях, многими Интернет-провайдерами а также в банках по всему миру и во многих корпоративных сетях, включая 48 компаний из списка Fortune 50.

Уязвимость CVE-2020-5902 может позволить злоумышленнику, даже если не пройдена проверка подлинности, с помощью доступа к конфигурационной утилите TMUI через порт управления BIG-IP выполнять произвольные команды в системе, создавать и удалять файлы, отключать службы, и запускать произвольный Java-скрипт, который может полностью скомпрометировать систему.

Согласно результатам исследования Shodan, в настоящее время число устройств, уязвимых к CVE-2020-5902, превышает 8400 штук, которые в основном расположены в США и Китае. На самом деле, учитывая серьезность уязвимости и потенциальное воздействие, Кибер-командование США повторило предупреждение, выпущенное компанией, и призвало организации установить соответствующий патч как можно скорее.

Загрузчик ботнета Mirai может быть добавлен к экземплярам новых вредоносных программ. Он сканирует уязвимые устройства BIG-IP и атакует системы, используя уязвимость CVE-2020-5902, позволяющую удаленно выполнять код (RCE) в пользовательском интерфейсе управления трафиком (TMUI) на устройствах BIG-IP. Чтобы воспользоваться уязвимостью, злоумышленник должен отправить HTTP-запрос на сервер, на котором размещен TMUI, для настройки BIG-IP. По мнению исследователей, успешный эксплойт этой уязвимости безопасности может привести к тому, что система будет полностью скомпрометирована и «раскроет» перед злоумышленником внутреннюю сеть.

Для защиты от такого рода кибер-атак компаниям необходимо принять адекватные меры по обеспечению безопасности своих цифровых ресурсов:

• Контроль использования сети и подключенных устройств является важной мерой безопасности. 24-часовой мониторинг сетевой активности должен применяться любой компанией. Это может быть достигнуто с помощью таких инструментов сбора данных, как Panda Adaptive Defense, который обнаруживает аномальное поведение и блокирует попытки проникновения в системы. В результате этого, имея полную видимость всего, что происходит на устройствах, можно сократить векторы атаки.
• Убедитесь, что системы полностью обновлены с помощью патчей и обновлений, так как многие угрозы используют существующие уязвимости. Чтобы помочь расставить приоритеты, управлять и внедрять исправления, Panda предлагает дополнительный модуль Panda Patch Management. Этот модуль в составе решения Panda Adaptive Defense, не требующий дополнительных действий по внедрению со стороны клиентов, управляет не только патчами и обновлениями самой операционной системы, но и сотнями приложений сторонних разработчиков.
• Будьте осторожны с электронной почтой. Аккаунты электронной почты сотрудников являются наиболее распространенной точкой входа, когда злоумышленник пытается использовать одного сотрудника для заражения других его коллег. Вот почему все сотрудники должны быть начеку в случае чего-либо подозрительного (даже электронные письма, которые, как кажется, приходят от руководителя, могут быть опасны) и никогда не загружать никакие вложения, которые дают повод для беспокойства по поводу его содержания или источника.
• Будьте осторожны со скачиваниями: скачивания из Интернета являются типичным вектором заражения вредоносными программами. Будьте осторожны при скачивании и загружайте только легальное программное обеспечение с официальных сайтов. Будьте особенно осторожны с загрузками через P2P, так как они часто связаны с такими атаками.

Одна вещь, которая ярко характеризует атаки ботнетов, так это их скрытность, поэтому профилактика и контрмеры также должны быть проактивными, чтобы контролировать все процессы в системах компании для обеспечения всесторонней информационной безопасности организации.