今年1月揭露的Ivanti資安產品漏洞CVE-2023-46805、CVE-2024-21887,這幾個月以來,陸續引發許多風波,連全球最了解駭客手法的資安組織MITRE都不幸淪陷,現在連Mirai殭屍網路也想乘機利用,企圖藉此大量散播惡意軟體。

本週(5月7日)資安與網路設備廠商Juniper Networks旗下的Juniper Threat Labs發布監測報告,揭露他們發現Mirai殭屍網路試圖利用這批漏洞,執行遠端程式碼執行,目的是廣泛散播惡意程式。

攻擊者主要濫用Ivanti產品的兩個漏洞,其中,針對CVE-2023-46805的部分,主要是運用略過身分認證與路徑穿越這兩個弱點,使得他們得以存取敏感資源;另一個漏洞是CVE-2024-21887,攻擊者可運用注入任何命令的弱點,而能夠執行指令碼,進而部署多種惡意軟體,研究人員也在其他受監測的執行個體,發現攻擊者透過以curl、Python寫成的反向shell技術來濫用CVE-2024-21887,而得以控制那些存在弱點的系統,最近他們更發現經由shell指令碼傳遞Mirai酬載的狀況。

分析當中的指令執行順序,攻擊者試圖抹除檔案、從遠端伺服器下載指令碼、設定可執行的許可,並且執行一段指令碼,目的是感染系統。而根據研究人員在這段過程所得到的酬載來進行分析,他們已識別出這是Mirai殭屍網路所使用的工具。

熱門新聞

Advertisement