Due vulnerabilità zero-day con funzionalità RCE diffondono le varianti di Mirai
A fine ottobre 2023, il SIRT (Security Intelligence Response Team) Akamai ha notato un piccolo aumento dell’attività dei suoi honeypot destinati a una porta TCP utilizzata raramente. L’attività è iniziata con una piccola crescita, con un picco di 20 tentativi al giorno, per poi ridursi a una media di due o tre al giorno, mentre alcuni giorni sono stati completamente privi di tentativi.
Attraverso gli honeypot personalizzati e gestiti, il SIRT di Akamai ha identificato due vulnerabilità zero-day utilizzate per diffondere le varianti Mirai JenX e hailBot, le quali vengono attivamente sfruttate per creare una botnet DDoS. Il payload si rivolge a dispositivi con credenziali di amministrazione predefinite e può essere eseguito da remoto. Le due vulnerabilità sono state segnalate ai fornitori e Akamai sta aspettando aggiornamenti sui modelli interessati e sulla disponibilità delle patch da parte dei fornitori (previsti per dicembre 2023) prima di poter rilasciare maggiori dettagli.
La botnet è impegnata in una campagna di lunga durata che Akamai SIRT monitora dalla fine del 2022. Il payload prende di mira router e dispositivi di registrazione video di rete (NVR) con credenziali di amministratore predefinite e installa le varianti Mirai una volta completata l’operazione.
Si parla, più precisamente, di circa 10.000 bot nel protocollo Telnet e altri 12.000 su specifici tipi/marchi di dispositivi denominati Vacron, ntel e UTT-Bots. L’analisi dei campioni di bot catturati nell’ottobre 2023 mostra, secondo Akamai, poche modifiche al codice rispetto alla botnet Mirai originale; si tratta quindi di uno strumento DDoS auto-propagante che supporta attacchi con inondazioni di richieste SYN, UDP e HTTP GET. Data la mancanza (per ora) di una patch per i dispositivi colpiti, il riavvio degli NVR e dei router dovrebbe interrompere temporaneamente la botnet.
I ricercatori di Akamai continueranno a monitorare queste e altre minacce e forniranno ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale X di Akamai.