自2016年开始大举锁定物联网(IoT)设备的殭屍网络病毒Mirai,以往目标多半是针对家用连网设备,像是、监视器等,入侵受害设备的手法也从暴力破解密码,演变成滥用设备的漏洞。而最近2到3年,这个殭屍网络家族目标转向企业运用的物联网设备。
但最近Palo Alto Networks自2月中旬发现的Mirai攻击行动,黑客先後锁定了9个漏洞,对於不同类型的网络设备发动攻击,当中包含了SonicWall SSL VPN设备、D-Link DNS-320防火墙、Netgear ProSAFE Plus网络交换器、Netis WF2419无线路由器,还有设备管理平台Yealink,以及Micro Focus云端服务自动化维运系统(AIOps)的报告模块Operation Bridge Reporter等,与先前被揭露的Mirai殭屍网络病毒攻击最大的不同点,就是这次攻击者锁定的设备类型非常多维,但每一类却又都只有针对一种厂商或是特定型号的设备下手。
这起攻击事故Palo Alto最早自2月16日开始,发现新的Mirai变种病毒锁定多种企业连网设备的漏洞下手。这些漏洞存在於SonicWall SSL VPN设备(VisualDoor)、D-Link DNS-320防火墙(CVE-2020-25506)、Netgear ProSAFE Plus网络交换器(CVE-2020-26919)、Netis WF2419无线路由器(CVE-2019-19356)等。此外,还有3个是未知漏洞。
事隔一周後,Palo Alto於23日看到其中1个IP位址被更新,攻击者搭配设备管理平台Yealink的漏洞CVE-2021-27561、CVE-2021-27562,来下载Mirai恶意程序。但到了3月,他们又发现黑客运用不同的网络设备漏洞进行攻击。3月3日,该公司再度看到此起攻击中的IP位址,三分之一滥用了CVE-2021-22502,这是存在於Micro Focus Operation Bridge Reporter的漏洞。13日,Palo Alto再度看到黑客滥用Netgear ProSAFE Plus网络交换器的漏洞进行攻击。
Palo Alto指出,截至3月15日,这起攻击行动仍在进行。一旦漏洞滥用成功,攻击者便会试图下载恶意壳层指令码,藉此下载与执行Mirai变种病毒,以及进行暴力破解密码等,他们也呼吁企业要加以防范。
攻击者运用多为重大等级的漏洞
针对此起攻击行动,该公司提供入侵指针,以及黑客已经滥用的网络设备漏洞信息,以便企业加以防范。其中,值得留意的是,Palo Alto指出黑客目前总共滥用9个漏洞,而且这些漏洞多半是今年发现的新漏洞,有些尚未取得CVE编号,甚至有部分是尚未确定攻击目目标漏洞,而且不少是重大漏洞。
以下是Palo Alto列出此起Mirai变种病毒攻击遭到滥用的漏洞:
1.
VisualDoor
漏洞锁定目标、手法:SonicWall SSL VPN设备命令注入漏洞 影响程度:重大
2.
CVE-2020-25506
漏洞锁定目标、手法:D-Link DNS-320防火墙设备RCE漏洞 影响程度:重大
3.
CVE-2021-27561、CVE-2021-27562
漏洞锁定目标、手法:Yealink设备管理系统的RCE漏洞 影响程度:重大
4.
CVE-2021-22502
漏洞锁定目标、手法:Micro Focus Operation Bridge Reporter的RCE漏洞,存在於该软件10.40版 影响程度:重大
5.
CVE-2019-19356
漏洞锁定目标、手法:Netis WF2419无线路由器的PCE漏洞 影响程度:高
6.
CVE-2020-26919
漏洞锁定目标、手法:Netgear ProSAFE Plus网络交换器的不需身分验证的RCE漏洞 影响程度:重大
7.未确认的RCE漏洞
漏洞锁定目标、手法:RCE漏洞,攻击目标不明 影响程度:N/A
8.未确认的RCE漏洞
漏洞锁定目标、手法:RCE漏洞,攻击目标不明 影响程度:N/A
9.未知漏洞
漏洞锁定目标、手法:曾被另一个殭屍网络病毒Moobot滥用,但确切攻击目标不明 影响程度:N/A