براساس گزارشهای منتشر شده، از ماه نوامبر سال ۲۰۲۴، یک باتنت جدید از خانوادهی میرای با بهرهبرداری از آسیبپذیریهای روز صفر، روترهای صنعتی و دستگاههای خانه هوشمند را مورد هدف قرار داده است.
آسیبپذیری CVE-2024-12856 در روترهای صنعتی Four-Faith، از ماه دسامبر سال گذشته توسط مهاجمان مورد بهرهبرداری قرار گرفته است. این آسیبپذیری به مهاجمان اجازه میدهد تا به دستگاههای متصل به این روترها نفوذ کنند.
نسخه جدید باتنت میرای سال گذشته شناسایی و در حال حاضر 15,000 گره فعال روزانه دارد که عمدتاً در چین، ایالات متحده، روسیه، ترکیه و ایران قرار دارند.
با بررسی گزارشهای مربوطه، به نظر میرسد که هدف اصلی این باتنت اجرای حملات محروم سازی از سرویس (DDoS) با هدفگیری افراد و سازمانهای مشخص برای کسب سود باشد.
این بدافزار از ترکیب اکسپلویتهای عمومی و خصوصی برای بیش از ۲۰ آسیبپذیری به منظور گسترش و ورود به دستگاههای متصل به اینترنت استفاده میکند و هدف آن روترهای صنعتی و خانگی، DVRها و دستگاههای خانهی هوشمند است.
مدل روترهایی که عمدتاً توسط این بدافزار مورد هدف قرار میگیرند به شرح زیر است:
- ASUS routers (via N-day exploits).
- Huawei routers (via CVE-2017-17215)
- Neterbit routers (custom exploit)
- LB-Link routers (via CVE-2023-26801)
- Four-Faith Industrial Routers (via the zero-day now tracked as CVE-2024-12856)
- PZT cameras (via CVE-2024-8956 and CVE-2024-8957)
- Kguard DVR
- Lilin DVR (via remote code execution exploits)
- Generic DVRs (using exploits like TVT editBlackAndWhiteList RCE)
- Vimar smart home devices (likely using an undisclosed vulnerability)
- Various 5G/LTE devices (likely via misconfigurations or weak credentials)
طبق گزارش شرکت X Lab، حملات این باتنت با وجود مدت زمان کوتاه (بین ۱۰ تا ۳۰ ثانیه)، بسیار شدید هستند و ترافیکی بیش از ۱۰۰ گیگابیت بر ثانیه ایجاد میکنند؛ که میتواند حتی برای زیرساختهای مقاوم نیز اختلال ایجاد کند.
یکی از ویژگیهای منحصر به فرد این باتنت، توانایی آن در آلوده کردن طیف گستردهای از دستگاهها و حفظ این آلودگی با بهرهگیری از آسیبپذیریهای قدیمی و حتی روز صفر است.
کاربران میتوانند با نصب آخرین بهروزرسانیهای منتشر شده، غیرفعال کردن دسترسی از راه دور و تغییر اطلاعات پیشفرض حساب (نام کاربری و رمزعبور)، از دستگاههای خود محافظت کنند.
توضیحات بیشتر:
- New Mirai botnet targets industrial routers with zero-day exploits