2018-09-24 19:30:10

Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte, um Apache Struts und SonicWall

Unit 42 meldet neue Varianten der bekannten IoT-Botnets Mirai und Gafgyt. Dabei handelt es sich um IoT-Botnets, die mit den großangelegten DDoS-Angriffen (Distributed Denial of Service) im November 2016 und danach in Zusammenhang stehen.

Am 7. September 2018 fanden die IT-Sicherheitsexperten von Palo Alto Networks aktuelle Samples einer Mirai-Variante, die Exploits für 16 verschiedene Schwachstellen enthielt. Während in der Vergangenheit die Verwendung mehrerer Exploits innerhalb einer einzigen Stichprobe von Mirai beobachtet wurde, ist dies die erste bekannte Instanz von Mirai, die auf eine Schwachstelle in Apache Struts abzielt. Darüber hinaus identifizierte Unit 42 die aktuelle Hosting-Domain dieser Mirai-Samples. Auf dieser IP-Adresse wurden zeitweise Samples von Gafgyt gehostet, die einen Exploit gegen CVE-2018-9866enthielten, eine SonicWall-Schwachstelle, die ältere Versionen von SonicWall GMS betrifft. 

Die kürzlich von den Sicherheitsexperten entdeckten Varianten sind aus zwei Gründen bemerkenswert:

  • Die neue Mirai-Version zielt auf die gleiche Schwachstelle von Apache Struts ab, die bei dem spektakulären Datensicherheitsvorfall beim US-Finanzdienstleister Equifax im Jahr 2017 ausgenutzt wurde.
  • Die neue Gafgyt-Version zielt auf eine neue Schwachstelle ab, die ältere, nicht unterstützte Versionen des Global Management System (GMS) von SonicWall betrifft.

Diese Entwicklungen deuten darauf hin, dass die zwei IoT-Botnets zunehmend auf Unternehmensgeräte mit veralteten Softwareversionen ausgerichtet sind. Alle Unternehmen sollten daher sicherstellen, dass sie nicht nur ihre Systeme auf dem neuesten Stand halten, sondern auch ihre IoT-Geräte. 

Die Integration von Exploits, die auf Apache Struts und SonicWall abzielen, könnte auch ein Hinweis darauf sein, dass sich diese IoT-/Linux-Botnets von Consumer-Geräten zu Zielen in Unternehmen verlagern. Der Exploit, der in der neuen Variante auf Apache Struts abzielt, wurde auf CVE-2017-5638 angesetzt, eine gängige Schwachstelle bei der Befehlsausführung über selbsterstellte Content-Type-, Content-Disposition- oder Content-Length-HTTP-Header.

log

Druckversion