Botnet ‘Beastmode’ adicionar novos exploits em seu arsenal

Uma versão do botnet Mirai chamada BeastMode atualizou seu arsenal de exploits. Verificou-se que a botnet adicionou explorações para cinco novas vulnerabilidades entre fevereiro e março de 2022, das quais três afetam diferentes modelos de roteadores TOTOLINK.

Quais vulnerabilidades são exploradas?

De acordo com os pesquisadores da Fortinet, o BeastMode tenta infectar os roteadores TOTOLINK explorando as seguintes vulnerabilidades:

  • CVE-2022-26210 – Afeta as versões A800R, A810R, A830R, A950RG, A3000RU e A3100R dos roteadores TOTOLINK .
  • CVE-2022-26186 – Afeta as versões N600R e A7100RU.
  • CVE-2022-25075/25076/25077/25078/25079/25080/25081/25082/25083/25084 – Eles são uma família de vulnerabilidades semelhantes direcionadas aos roteadores TOTOLINK A810R, A830R, A860R, A950RG, A3100R, A3600R, T6 e T10 . 

Os agentes de ameaças adicionaram as explorações apenas uma semana depois que os PoCs foram lançados publicamente no GitHub. Isso permitiu que os invasores comprometessem um grande número de dispositivos antes que os proprietários lançassem as atualizações de firmware. 

Como funciona o botnet BeastMode?

  • Como a maioria dos botnets DDoS, o Beastmode tenta infectar dispositivos lançando ataques de força bruta ou explorando várias vulnerabilidades. 
  • Uma vez lançado, o botnet pode executar uma variedade de ataques DDoS, incluindo attack_app_http, attack_tcp_ack, attack_tcp_syn, attack_udp_plain, attack_udp_vse, attack_udp_ovhhex, attack_udp_stdhex e attack_udp_CLAMP. 

Sobre a última campanha de ataque

  • As amostras de botnet capturadas em 20 de fevereiro continham um erro de digitação na URL, onde o ‘downloadFlile.cgi’ usado pelo dispositivo foi substituído por ‘downloadFile.cgi’. 
  • No entanto, os invasores corrigiram as amostras três dias após a descoberta, o que sugere que a campanha ainda está em desenvolvimento ativo. 
  • Além dos produtos TOTOLINK, a campanha também visa produtos D-Link obsoletos (DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L e DIR-836L) via CVE-2021-45382. 
  • Alguns outros produtos da TP-Link, Huawei, NETGEAR e NUUO NVRmimi2, NVRsolo também estão sendo alvo da campanha. 
  • Os pesquisadores observam que as vulnerabilidades que afetam esses produtos podem permitir que os agentes de ameaças injetem comandos maliciosos após a exploração bem-sucedida. 

Conclusão

Ao adotar rapidamente o código de exploração recém-lançado, os agentes de ameaças podem infectar potencialmente dispositivos vulneráveis ​​e expandir seus botnets. Portanto, os usuários devem estar atentos ao aplicar a atualização de firmware assim que ela for lançada. Eles também devem alterar as senhas dos roteadores periodicamente para evitar ameaças decorrentes de ataques de força bruta.  

Fonte: https://cyware.com/