JuniperJuniper Networks هشدار می‌دهد که محصولات Session Smart Router (SSR) با گذرواژه‌های پیش‌فرض به‌عنوان بخشی از یک کمپین مخربی که بدافزار بات نت Mirai را مستقر می‌کند، هدف قرار می‌گیرند.

این شرکت اعلام کرد که این توصیه را پس از آن صادر می‌کند که «چند مشتری» در ۱۱ دسامبر ۲۰۲۴ رفتار غیرعادی در پلتفرم های Session Smart Network (SSN) خود را گزارش کردند.

Juniper گفت[۱]: “این سیستم‌ها به بدافزار Mirai آلوده شده‌اند و متعاقباً به‌عنوان منبع حمله DDoS برای سایر دستگاه‌های قابل‌دسترسی شبکه‌شان مورداستفاده قرار گرفتند. سیستم‌های آسیب‌دیده همه از رمزهای عبور پیش‌فرض استفاده می‌کردند.”

Mirai که کد منبع آن در سال ۲۰۱۶ به بیرون درز کرد[۲]، در طول سال ها انواع مختلفی را ایجاد کرده است. این بدافزار می‌تواند آسیب‌پذیری‌های شناخته‌شده و همچنین اعتبار پیش‌فرض را برای نفوذ به دستگاه‌ها و ثبت آن‌ها در یک بات‌نت برای نصب حملات انکار سرویس توزیع‌شده (DDoS) اسکن کند.

برای کاهش چنین تهدیداتی، به سازمان‌ها توصیه می‌شود که رمزهای عبور خود را با تأثیر فوری به رمزهای قوی و منحصربه‌فرد تغییر دهند (اگر قبلاً نبوده‌اند)، به طور دوره‌ای گزارش‌های دسترسی را برای نشانه‌هایی از فعالیت مشکوک بررسی کنند، از فایروال‌ها برای مسدودکردن دسترسی غیرمجاز استفاده کنند، و نرم‌افزار را به‌روز نگه دارند.

برخی از شاخص‌های مرتبط با حملات Mirai عبارت‌اند از اسکن پورت غیرمعمول، تلاش‌های مکرر برای ورود به سیستم SSH که نشان‌دهنده حملات brute-force، افزایش حجم ترافیک خروجی به آدرس‌های IP غیرمنتظره، راه‌اندازی مجدد تصادفی و اتصالات از آدرس‌های IP مخرب شناخته شده است.

این شرکت گفت: “اگر مشخص شود سیستمی آلوده شده است، تنها راه قطعی برای متوقف کردن تهدید، تصویربرداری مجدد از سیستم است، زیرا نمی‌توان دقیقاً تعیین کرد که چه چیزی ممکن است تغییر کرده یا از دستگاه به‌دست‌آمده باشد.”

این توسعه زمانی انجام شد که مرکز اطلاعات امنیتی AhnLab (ASEC) فاش کرد که سرورهای لینوکس با مدیریت ضعیف، به‌ویژه سرویس‌های SSH که به طور عمومی در معرض دید عموم قرار دارند، توسط خانواده بدافزار DDoS که قبلاً مستند نشده بود به نام cShell هدف قرار می‌گیرند.

ASEC گفت[۳]: “cShell به زبان Go توسعه‌یافته است و با بهره‌برداری از ابزارهای لینوکس به نام screen و [۴]hping3 برای انجام حملات DDoS مشخص می‌شود.”

DigiEver Flaw برای توزیع نوع بات نت Mirai# مورد بهره‌برداری قرار گرفت

در گزارش جدیدی که در ۱۹ دسامبر ۲۰۲۴ منتشر شد، Akamai فاش کرد که یک آسیب‌پذیری اجرای کد از راه دور در دی‌وی‌آرهای DigiEver DS-2105 Pro (بدون CVE) توسط مهاجمان برای انتشار نوعی از بات‌نت Mirai با نام «Hail Cock» حداقل از اکتبر ۲۰۲۴ مورد بهره‌برداری قرار می‌گیرد[۵]. تخمین زده می شود که فعالیت این بات نت یک ماه قبل از آن فعال بوده است.

آسیب‌پذیری موردبحث به‌عنوان یک فایل دلخواه پس از تأییدیه توصیف شده است که در ترکیب با دستگاه‌های DVR که رمزهای عبور ضعیفی دارند کار می‌کند. بدافزار نصب شده روی دستگاه‌ها متعاقباً حملات Telnet و SSH brute-force را انجام می‌دهد تا اندازه بات‌نت را افزایش دهد.

Akamai به The Hacker News گفت که هنوز از فروشنده چیزی نشنیده است که بداند آیا آسیب‌پذیری DigiEver اصلاح شده است یا خیر. علاوه بر بهره‌بردار اجرای کد، این کمپین مشاهده شده است که آسیب‌پذیری‌های شناخته شده دیگری را نیز هدف قرار می‌دهد:

  • CVE-2023-1389 (امتیاز ۸٫۸ در CVSS)، یک آسیب‌پذیری تزریق فرمان که روترهای TP-Link را تحت تأثیر قرار می‌دهد.
  • CVE-2018-17532 (امتیاز ۹٫۸ در CVSS)، چندین آسیب پذیری تزریق فرمان سیستم عامل تایید نشده در روترهای Teltonika RUT9XX

محققین Akamai، Kyle Lefton، Daniel Messing و Larry Cashdollar می‌گویند[۶]: “مجرمان سایبری به طور مداوم از میراث بدافزار Mirai برای تداوم کمپین‌های بات‌نت برای سال‌ها استفاده کرده‌اند و بات‌نت جدید Hail Cock نیز از این قاعده مستثنی نیست. یکی از ساده‌ترین روش‌ها برای عوامل تهدید برای به خطر انداختن میزبان‌های جدید، هدف قراردادن سخت‌افزار قدیمی یا سخت‌افزار بازنشسته است.”

“DigiEver DS-2105 Pro که اکنون تقریباً ۱۰ سال از عمر آن می گذرد، یک نمونه است. سازندگان سخت افزار همیشه وصله هایی را برای دستگاه های بازنشسته صادر نمی کنند و خود سازنده ممکن است گاهی اوقات از کار بیفتد.”

منابع

[۱] https://supportportal.juniper.net/s/article/2024-12-Reference-Advisory-Session-Smart-Router-Mirai-malware-found-on-systems-when-the-default-password-remains-unchanged?language=en_US

[۲] https://thehackernews.com/2024/10/new-gorilla-botnet-launches-over-300000.html

[۳] https://www.kali.org/tools/hping3

[۴] https://asec.ahnlab.com/en/85165

[۵] https://ducklingstudio.blog.fc2.com/blog-entry-394.html

[۶] https://www.akamai.com/blog/security-research/digiever-fix-that-iot-thing

[۷] https://thehackernews.com/2024/12/juniper-warns-of-mirai-botnet-targeting.html