New botnet exploits vulnerabilities in NVRs, TP-Link routers

新しいMiraiベースのボットネットが、DigiEver DS-2105 Pro NVRにパッチが適用されていないリモートコード実行の脆弱性を積極的に悪用している。

このキャンペーンは10月に開始され、古いファームウェアを搭載した複数のネットワークビデオレコーダーとTP-Linkルーターを標的としている。

このキャンペーンで使用されている脆弱性の1つは、TXOneの研究者Ta-Lun Yenによって文書化され、昨年ルーマニアのブカレストで開催されたDefCampセキュリティカンファレンスで発表された。同リサーチャーは当時、この問題は複数の DVR デバイスに影響を及ぼしていると述べていました。

アカマイの研究者は、ボットネットがこの欠陥を悪用し始めたのは 11 月中旬であると観測していますが、少なくとも 9 月からキャンペーンが行われていたことを示す証拠が見つかっています。

DigiEver の欠陥とは別に、新しい Mirai マルウェアの亜種は TP-Link デバイスのCVE-2023-1389と Teltonika RUT9XX ルーターの CVE-2018-17532 も標的にしています。

DigiEver NVRへの攻撃

DigiEver NVRを侵害するために悪用される脆弱性はリモートコード実行(RCE)の欠陥であり、ハッカーはユーザー入力を不適切に検証する「/cgi-bin/cgi_main.cgi」URIを狙っています。

これにより、リモートの認証されていない攻撃者が、HTTP POST リクエストの ntp フィールドなどの特定のパラメータを経由して、「curl」や「chmod」などのコマンドを実行できるようになります。

アカマイによると、この Mirai ベースのボットネットが確認した攻撃は、Ta-Lun Yen のプレゼンテーションで説明されているものと類似しているようです。

コマンドインジェクションにより、攻撃者はマルウェアのバイナリを外部サーバーから取得し、デバイスをボットネットに参加させます。永続性はcronジョブを追加することで達成される。

デバイスが侵害されると、分散型サービス妨害(DDoS)攻撃の実施や、エクスプロイトセットおよびクレデンシャルリストを活用した他のデバイスへの拡散に利用されます。

アカマイによると、Mirai の新しい亜種は XOR および ChaCha20 暗号を使用し、x86、ARM、MIPS を含む幅広いシステムアーキテクチャを標的としていることが特徴です。

「複雑な解読方法を採用することは目新しいことではありませんが、Mirai ベースのボットネット運営者の間で戦術、技術、手順が進化していることを示唆しています

「これは、多くの Mirai ベースのボットネットが、オリジナルの Mirai マルウェアのソースコードリリースに含まれていたリサイクルコードによるオリジナルの文字列難読化ロジックに依然として依存していることが主な理由です」と研究者は述べています。

研究者らは、このボットネットはTeltonika RUT9XXルーターの脆弱性であるCVE-2018-17532や、TP-Linkデバイスに影響を与えるCVE-2023-1389も悪用していると指摘している。

このキャンペーンに関連する侵害の指標(IoC)は、脅威を検出およびブロックするための Yara のルールとともに、アカマイのレポートの最後に掲載されています。