idNSA.id - Peneliti Palo Alto menemukan serangkaian serangan yang sedang berlangsung untuk menyebarkan varian dari bot Mirai yang terkenal mengeksploitasi berbagai kerentanan.
Di bawah daftar kerentanan yang dieksploitasi dalam serangan tersebut, tiga di antaranya merupakan masalah yang tidak diketahui:
Indo | Kerentanan | Deskripsi | Kerasnya |
1 | Kerentanan Injeksi Perintah Jarak Jauh SSL-VPN SonicWall | Kritis | |
2 | Kerentanan Eksekusi Perintah Jarak Jauh D-Link DNS-320 Firewall | Kritis | |
3 | Kerentanan Eksekusi Kode Jarak Jauh Yealink Device Management Pre-Auth 'root' | Kritis | |
4 | Kerentanan Eksekusi Kode Jarak Jauh di Micro Focus Operation Bridge Reporter (OBR), memengaruhi versi 10.40 | Kritis | |
5 | Menyerupai Kerentanan Eksekusi Kode Jarak Jauh Router Nirkabel Netis WF2419 | Tinggi | |
6 | Netgear ProSAFE Plus Kerentanan Eksekusi Kode Jarak Jauh Tidak Terautentikasi | Kritis | |
7 | Tidak teridentifikasi | Kerentanan Eksekusi Perintah Jarak Jauh Terhadap Target yang Tidak Diketahui | Tidak diketahui |
8 | Tidak teridentifikasi | Kerentanan Eksekusi Perintah Jarak Jauh Terhadap Target yang Tidak Diketahui | Tidak diketahui |
9 | Kerentanan Tidak Diketahui | Kerentanan yang Digunakan oleh Moobot di Masa Lalu, Meskipun Target Tepatnya Masih Belum Diketahui | Tidak diketahui |
“Serangan masih berlangsung hingga tulisan ini dibuat. Setelah eksploitasi berhasil, penyerang mencoba mendownload skrip shell berbahaya, yang berisi perilaku infeksi lebih lanjut seperti mendownload dan menjalankan varian Mirai dan brute-forcers. ” membaca posting yang diterbitkan oleh Palo Alto Networks 'Unit 42.
Serangan pertama kali diamati pada 16 Februari, para ahli memperhatikan bahwa setelah eksploitasi berhasil, kode berbahaya menggunakan utilitas wget untuk mengunduh skrip shell dari C2. Skrip shell mendownload beberapa binari Mirai yang dikompilasi untuk arsitektur yang berbeda, kemudian mengeksekusi binari ini satu per satu.
Para ahli memperhatikan bahwa malware juga mengunduh lebih banyak skrip shell yang mengambil brute-forcer yang dapat digunakan untuk menargetkan perangkat yang dilindungi dengan kata sandi yang lemah.
“Dunia IoT tetap menjadi target yang mudah diakses oleh penyerang. Banyak kerentanan sangat mudah dieksploitasi dan dapat, dalam beberapa kasus, memiliki konsekuensi bencana, ”para peneliti menyimpulkan.
