Активность ботнетов на основе Mirai возросла после публикации нового PoC-эксплоита - «Новости»
sitename
Корпоративное видео: как создать имидж успешной компании в 2026 году
Корпоративное видео: как создать имидж успешной компании в 2026 году
 YADRO выпустила отечественные серверы Vegman R220 G3 на базе Intel Xeon Emerald Rapids - «Новости сети»
YADRO выпустила отечественные серверы Vegman R220 G3 на базе Intel Xeon Emerald Rapids - «Новости сети»
 FP64 у вас ненастоящий: AMD сомневается в эффективности эмуляции научных расчётов на тензорных ядрах NVIDIA - «Новости сети»
FP64 у вас ненастоящий: AMD сомневается в эффективности эмуляции научных расчётов на тензорных ядрах NVIDIA - «Новости сети»
 В Австралии создали электродвигатель без катушек и магнитов — его вращает капля жидкого металла - «Новости сети»
В Австралии создали электродвигатель без катушек и магнитов — его вращает капля жидкого металла - «Новости сети»
 Свежее обновление Windows 11 уронило производительность видеокарт Nvidia GeForce - «Новости сети»
Свежее обновление Windows 11 уронило производительность видеокарт Nvidia GeForce - «Новости сети»
 Micron купила завод PSMC за $1,8 млрд — всё оборудование «выбросят» ради выпуска HBM - «Новости сети»
Micron купила завод PSMC за $1,8 млрд — всё оборудование «выбросят» ради выпуска HBM - «Новости сети»
 Около 1000 человекоподобных роботов Optimus уже трудятся на заводах Tesla - «Новости сети»
Около 1000 человекоподобных роботов Optimus уже трудятся на заводах Tesla - «Новости сети»
 Micron запустила строительство мегафабрики памяти в Нью-Йорке за $100 млрд — проекта ждали с 2022 года - «Новости сети»
Micron запустила строительство мегафабрики памяти в Нью-Йорке за $100 млрд — проекта ждали с 2022 года - «Новости сети»
 Бывший глава разработки Tesla Optimus теперь будет строить роботов в Boston Dynamics - «Новости сети»
Бывший глава разработки Tesla Optimus теперь будет строить роботов в Boston Dynamics - «Новости сети»
 Что показали на CES 2026. Часть 1 - «Новости мира Интернет»
Что показали на CES 2026. Часть 1 - «Новости мира Интернет»
Новости мира Интернет » Новости » Активность ботнетов на основе Mirai возросла после публикации нового PoC-эксплоита - «Новости»

✔Активность ботнетов на основе Mirai возросла после публикации нового PoC-эксплоита - «Новости»

01 декабря 2017 914 Новости 0

Аналитики Qihoo 360 Netlab предупреждают, что активность Mirai-ботнетов заметно возросла после обнародования в публичных базах уязвимостей нового  proof-of-concept эксплоита для роутеров ZyXEL. Согласно отчету специалистов, эксплоит был опубликован еще 31 октября 2017 года, а 22 ноября 2017 года эксперты зафиксировали волну сканирований с его использованием.


Появившийся эксплоит предназначен для уязвимости в старых девайсах ZyXEL PK5001Z. О проблеме стало известно еще в начале 2016 года, тогда ее обнаружили пользователи форумов OpenWrt. Баг получил идентификатор CVE-2016-10401 и представляет собой скрытый пароль суперпользователя, который позволяет повысить привилегии до root-уровня на уязвимых девайсах ZyXEL. Причем этот пароль (zyad5001) не может быть использован для входа. Но вместе с этим обнаружилось, что множество устройств ZyXEL также имеют одинаковые учетные данные для Telnet по умолчанию: admin/CentryL1nk и admin/QwestM0dem.


В итоге опубликованный в прошлом месяце эксплоит автоматизирует процесс входа на уязвимые девайсы ZyXEL с помощью вышеупомянутых учетных данных для Telnet, а затем использует пароль суперпользователя для эскалации привилегий.


Напомню, что ботнеты на базе Mirai полагаются на похожие методы распространения: сканируют сеть в поисках уязвимых IoT-девайсов, к которым можно подключиться посредством Telnet. Малварь имеет жестко закодированный и весьма длинный список учетных данных, использующихся по умолчанию в различных гаджетах.


После публикации нового PoC-эксплоита специалисты заметили резкий прирост сканирований, направленных на порты 23 и 2323, и использующиеся для Telnet-аутентификации. Неизвестные взяли новый эксплоит на вооружение, принявшись искать и заражать проблемные устройства ZyXEL. По данным Qihoo 360 Netlab, за 60 часов наблюдений удалось обнаружить более 100 000 IP-адресов, осуществляющих сканирования.





Независимый ИБ-эксперт Трой Марш (Troy Mursch), тоже заметивший новую волну сканирований, пишет, что злоумышленникам даже удалось установить новый рекорд.





Марш и специалисты Qihoo 360 Netlab сходятся во мнении, что большинство ботов (порядка 65 700) находятся в Аргентине, а точнее принадлежат местному подразделению провайдера Telefonica. Судя по тому, что никаких официальных сообщений от представителей Telefonica не поступало, и пользователи компании не жалуются на проблемы с доступом к интернету, пока о заражении Mirai мало кому известно.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики Qihoo 360 Netlab предупреждают, что активность Mirai-ботнетов заметно возросла после обнародования в публичных базах уязвимостей нового proof-of-concept эксплоита для роутеров ZyXEL. Согласно отчету специалистов, эксплоит был опубликован еще 31 октября 2017 года, а 22 ноября 2017 года эксперты зафиксировали волну сканирований с его использованием. Появившийся эксплоит предназначен для уязвимости в старых девайсах ZyXEL PK5001Z. О проблеме стало известно еще в начале 2016 года, тогда ее обнаружили пользователи форумов OpenWrt. Баг получил идентификатор CVE-2016-10401 и представляет собой скрытый пароль суперпользователя, который позволяет повысить привилегии до root-уровня на уязвимых девайсах ZyXEL. Причем этот пароль (zyad5001) не может быть использован для входа. Но вместе с этим обнаружилось, что множество устройств ZyXEL также имеют одинаковые учетные данные для Telnet по умолчанию: admin/CentryL1nk и admin/QwestM0dem. В итоге опубликованный в прошлом месяце эксплоит автоматизирует процесс входа на уязвимые девайсы ZyXEL с помощью вышеупомянутых учетных данных для Telnet, а затем использует пароль суперпользователя для эскалации привилегий. Напомню, что ботнеты на базе Mirai полагаются на похожие методы распространения: сканируют сеть в поисках уязвимых IoT-девайсов, к которым можно подключиться посредством Telnet. Малварь имеет жестко закодированный и весьма длинный список учетных данных, использующихся по умолчанию в различных гаджетах. После публикации нового PoC-эксплоита специалисты заметили резкий прирост сканирований, направленных на порты 23 и 2323, и использующиеся для Telnet-аутентификации. Неизвестные взяли новый эксплоит на вооружение, принявшись искать и заражать проблемные устройства ZyXEL. По данным Qihoo 360 Netlab, за 60 часов наблюдений удалось обнаружить более 100 000 IP-адресов, осуществляющих сканирования. Независимый ИБ-эксперт Трой Марш (Troy Mursch), тоже заметивший новую волну сканирований, пишет, что злоумышленникам даже удалось установить новый рекорд. 879 new unique IP addresses were found in the
CSS, ZyXEL Qihoo нового пароль ZyXEL.
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация