圖片來源: 

Palo Alto Networks

自2016年開始大舉鎖定物聯網(IoT)裝置的殭屍網路病毒Mirai,以往目標多半是針對家用連網設備,像是路由器、監視器等,入侵受害設備的手法也從暴力破解密碼,演變成濫用設備的漏洞。而最近2到3年,這個殭屍網路家族目標轉向企業運用的物聯網設備,像是企業採用的投影機、智慧電視,以及路由器等,甚至是已終止支援的網頁安全閘道設備

但最近Palo Alto Networks自2月中旬發現的Mirai攻擊行動,駭客先後鎖定了9個漏洞,對於不同類型的網路設備發動攻擊,當中包含了SonicWall SSL VPN設備、D-Link DNS-320防火牆、Netgear ProSAFE Plus網路交換器、Netis WF2419無線路由器,還有裝置管理平臺Yealink,以及Micro Focus雲端服務自動化維運系統(AIOps)的報告模組Operation Bridge Reporter等,與先前被揭露的Mirai殭屍網路病毒攻擊最大的不同點,就是這次攻擊者鎖定的設備類型非常多元,但每一類卻又都只有針對一種廠商或是特定型號的設備下手。

這起攻擊事故Palo Alto最早自2月16日開始,發現新的Mirai變種病毒鎖定多種企業連網裝置的漏洞下手。這些漏洞存在於SonicWall SSL VPN設備(VisualDoor)、D-Link DNS-320防火牆(CVE-2020-25506)、Netgear ProSAFE Plus網路交換器(CVE-2020-26919)、Netis WF2419無線路由器(CVE-2019-19356)等。此外,還有3個是未知漏洞。

事隔一週後,Palo Alto於23日看到其中1個IP位址被更新,攻擊者搭配裝置管理平臺Yealink的漏洞CVE-2021-27561、CVE-2021-27562,來下載Mirai惡意程式。但到了3月,他們又發現駭客運用不同的網路設備漏洞進行攻擊。3月3日,該公司再度看到此起攻擊中的IP位址,三分之一濫用了CVE-2021-22502,這是存在於Micro Focus Operation Bridge Reporter的漏洞。13日,Palo Alto再度看到駭客濫用Netgear ProSAFE Plus網路交換器的漏洞進行攻擊。

Palo Alto指出,截至3月15日,這起攻擊行動仍在進行。一旦漏洞濫用成功,攻擊者便會試圖下載惡意殼層指令碼,藉此下載與執行Mirai變種病毒,以及進行暴力破解密碼等,他們也呼籲企業要加以防範。

攻擊者運用多為重大等級的漏洞

針對此起攻擊行動,該公司提供入侵指標,以及駭客已經濫用的網路設備漏洞資訊,以便企業加以防範。其中,值得留意的是,Palo Alto指出駭客目前總共濫用9個漏洞,而且這些漏洞多半是今年發現的新漏洞,有些尚未取得CVE編號,甚至有部分是尚未確定攻擊目標的漏洞,而且不少是重大漏洞。

以下是Palo Alto列出此起Mirai變種病毒攻擊遭到濫用的漏洞:

1.VisualDoor

漏洞鎖定目標、手法:SonicWall SSL VPN設備命令注入漏洞
影響程度:重大

2.CVE-2020-25506

漏洞鎖定目標、手法:D-Link DNS-320防火牆設備RCE漏洞
影響程度:重大

3.CVE-2021-27561、CVE-2021-27562

漏洞鎖定目標、手法:Yealink裝置管理系統的RCE漏洞
影響程度:重大

4.CVE-2021-22502

漏洞鎖定目標、手法:Micro Focus Operation Bridge Reporter的RCE漏洞,存在於該軟體10.40版
影響程度:重大

5.CVE-2019-19356

漏洞鎖定目標、手法:Netis WF2419無線路由器的PCE漏洞
影響程度:高

6.CVE-2020-26919

漏洞鎖定目標、手法:Netgear ProSAFE Plus網路交換器的不需身分驗證的RCE漏洞
影響程度:重大

7.未確認的RCE漏洞

漏洞鎖定目標、手法:RCE漏洞,攻擊目標不明
影響程度:N/A

8.未確認的RCE漏洞

漏洞鎖定目標、手法:RCE漏洞,攻擊目標不明
影響程度:N/A

9.未知漏洞

漏洞鎖定目標、手法:曾被另一個殭屍網路病毒Moobot濫用,但確切攻擊標的不明
影響程度:N/A


熱門新聞

Advertisement