Un nouveau botnet basé sur miraiexploite activement une vulnérabilité d’exécution de code à distance qui n’a pas reçu de numéro de suivi et semble ne pas être corrigée dans les NVR DIGIVER DS-2105 Pro.
La campagne a débuté en octobre et cible plusieurs enregistreurs vidéo réseau et routeurs TP-Link avec un micrologiciel obsolète.
L’une des vulnérabilités utilisées dans la campagne a été documentée par le chercheur de TXOne Ta-Lun Yen et présentée l’année dernière lors de la conférence sur la sécurité DefCamp à Bucarest, en Roumanie. Le chercheur a déclaré à l’époque que le problème affectait plusieurs appareils DVR.
Les chercheurs d’Akamai ont observé que le botnet avait commencé à exploiter la faille à la mi-novembre, mais ont trouvé des preuves que la campagne était active depuis au moins septembre.
Outre la faille DigiEver, la nouvelle variante de malware Mirai cible également CVE-2023-1389 sur les appareils TP-Link et CVE-2018-17532 sur les routeurs Teltonika RUT9XX.
Attaques contre les NVR DigiEver
La vulnérabilité exploitée pour compromettre les NVR DigiEver est une faille d’exécution de code à distance (RCE) et les pirates ciblent le ‘/cgi-bin / cgi_main. cgi ‘ URI, qui valide incorrectement les entrées utilisateur.
Cela permet aux attaquants distants non authentifiés d’injecter des commandes telles que « curl » et « chmod » via certains paramètres, tels que le champ ntp dans les requêtes HTTP POST.
Akamai dit que les attaques qu’il a vues par ce botnet basé sur Mirai semblent similaires à ce qui est décrit dans la présentation de Ta-Lun Yen.
Grâce à l’injection de commandes, les attaquants récupèrent le binaire du logiciel malveillant à partir d’un serveur externe et enrôlent l’appareil dans son botnet. La persistance est obtenue en ajoutant des tâches cron.
Une fois que l’appareil est compromis, il est ensuite utilisé pour mener des attaques par déni de service distribué (DDoS) ou pour se propager à d’autres appareils en exploitant des ensembles d’exploits et des listes d’informations d’identification.
Akamai affirme que la nouvelle variante Mirai se distingue par son utilisation du cryptage XOR et ChaCha20 et son ciblage d’un large éventail d’architectures système, notamment x86, ARM et MIPS.
« Bien que l’utilisation de méthodes de déchiffrement complexes ne soit pas nouvelle, cela suggère une évolution des tactiques, des techniques et des procédures parmi les opérateurs de botnets basés sur Mirai », commente Akamai.
« C’est surtout remarquable parce que de nombreux botnets basés sur Mirai dépendent toujours de la logique d’obscurcissement de chaîne d’origine à partir du code recyclé qui était inclus dans la version originale du code source du malware Mirai », expliquent les chercheurs.
Les chercheurs notent que le botnet exploite également CVE-2018-17532, une vulnérabilité dans les routeurs Teltonika RUT9XX ainsi que CVE-2023-1389, qui affecte les appareils TP-Link.
Les indicateurs de compromission (IoC) associés à la campagne sont disponibles à la fin du rapport d’Akamai, ainsi que les règles de Yara pour détecter et bloquer la menace.