Рекомендуем почитать:
IoT-малварь Echobot – это очередная вариация известного вредоноса Mirai, обнаруженная ИБ-специалистами Palo Alto Networks в начале июня 2019 года. Эксперты компании Akamai уже посвятили этой угрозе детальный отчет, из которого стало ясно, что Echobot следует за общим трендом: авторы малвари не привнесли в код Mirai ничего нового, но добавили к исходникам новые, дополнительные модули. В настоящее время ботнет Echobot используется для организации DDoS-атак.
Когда малварь впервые заметили исследователи Palo Alto Networks, Echobot использовал эксплоиты для 18 уязвимостей. Но вскоре эксперты Akamai обнаружили другую вариацию Echobot, применявшую уже 26 разных эксплоитов, как старых, так и новых. Тогда малварь атаковала различные NAS, маршрутизаторы, NVR, IP-камеры, IP-телефоны и так далее.
На этой неделе независимый ИБ-специалист Карлос Брендель Альканис (Carlos Brendel Alcañiz) сообщил, что авторы Echobot снова расширили арсенал своего вредоноса, и теперь на вооружении малвари находятся уже 59 всевозможных эксплоитов.
Just a couple hours ago I received an exploit targeting Asus devices. Nothing interesting so far. The "richard" file is a shitty dropper, but the malware is just a bot that propagates itself using 61 different RCE exploits. I guess Richard is trying hard to get popular ^^ pic.twitter.com/xA1Tn2o3z1
— Carlos Brendel (@carbreal) August 6, 2019
Эксперт обнаружил новую вариацию угрозы, когда заметил код, предназначенный для атак на уязвимости в устройствах Asus. Полный список пейлоадов специалист уже опубликовал на PasteBin. Судя по всему, операторы малвари пустили в дело всевозможные публично доступные эксплоиты для давно известных уязвимостей, некоторые из которых датированы 2010 годом. При этом нельзя сказать, что злоумышленники концентрировались на какой-то на определенной категории продуктов.
Исследователь рассказал изданию Bleeping Computer, что теперь эксплоиты Echobot нацелены как на аппаратные, так и на программные решения, включая: роутеры, камеры, хабы для умного дома, сетевые системы хранения данных, серверы, ПО для управления базами данных и Zeroshell. Полный список эксплоитов, входящих в эту версию малвари, можно увидеть ниже.
| Устройство или ПО | Тип уязвимости |
| Asustor ADM 3.1.2RHG1 | Удаленное выполнение кода |
| Ubiquity Nanostation 5 (Air OS) | 0-day, удаленное выполнение команд |
| Alcatel-Lucent OmniPCX Enterprise 7.1 | Удаленное выполнение команд |
| ASMAX AR 804 gu Web Management Console | Выполнение произвольных команд |
| ASUS DSL-N12E_C1 1.1.2.3_345 | Удаленное выполнение команд |
| Asus RT56U 3.0.0.4.360 | Удаленная инъекция команд |
| AWStats Totals 1.14 | multisort - Удаленное выполнение команд |
| AWStats 6.0 | 'configdir' Удаленное выполнение команд |
| AWStats 6.0 | 'migrate' Удаленное выполнение команд |
| Barracuda | IMG.pl Удаленное выполнение команд |
| Beckhoff CX9020 CPU Module | Удаленное выполнение кода |
| Belkin Wemo UPnP | Удаленное выполнение кода |
| BEWARD N100 H.264 VGA IP Camera M2.1.6 | Удаленное выполнение кода |
| Crestron AM/Barco wePresent WiPG/Extron ShareLink/Teq AV IT/SHARP PN-L703WA/Optoma WPS-Pro/Blackbox HD WPS/InFocus | Удаленная инъекция команд |
| Citrix SD-WAN Appliance 10.2.2 | Обход аутентификации, удаленное выполнение команд |
| EnGenius EnShare IoT Gigabit Cloud Service 1.4.11 | Удаленное выполнение кода |
| Dogfood CRM | 'spell.php' Удаленное выполнение команд |
| CTEK SkyRouter 4200/4300 | Выполнение команд |
| NETGEAR R7000 / R6400 | 'cgi-bin' Инъекция команд |
| Dell KACE Systems Management Appliance (K1000) 6.4.120756 | Удаленное выполнение кода без аутентификации |
| D-Link | Инъекция команд через интерфейс UPnP |
| OpenDreamBox 2.0.0 Plugin WebAdmin | Удаленное выполнение кода |
| FreePBX 2.10.0 / Elastix 2.2.0 | Удаленное выполнение кода |
| Fritz!Box Webcm | Инъекция команд |
| Geutebruck 5.02024 G-Cam/EFD-2250 | 'testaction.cgi' Удаленное выполнение команд |
| Gitorious | Удаленное выполнение команд |
| HomeMatic Zentrale CCU2 | Удаленное выполнение кода |
| Hootoo HT-05 | Удаленное выполнение кода |
| Iris ID IrisAccess ICU 7000-2 | Удаленное выполнение команд |
| Linksys WAG54G2 | Выполнение произвольных команд в Web Management Console |
| Mitel AWC | Выполнение команд |
| Nagios 3.0.6 | 'statuswml.cgi' Инъекция произвольных шелл-команд |
| NUUO NVRmini | 'upgrade_handle.php' Удаленное выполнение команд |
| NETGEAR ReadyNAS Surveillance 1.4.3-16 | Удаленное выполнение команд |
| EyeLock nano NXT 3.5 | Удаленное выполнение кода |
| OP5 5.3.5/5.4.0/5.4.2/5.5.0/5.5.1 | 'welcome' Удаленное выполнение команд |
| OP5 7.1.9 | Удаленное выполнение команд |
| HP OpenView Network Node Manager 7.50 | Удаленное выполнение команд |
| Oracle Weblogic 10.3.6.0.0 / 12.1.3.0.0 | Удаленное выполнение кода |
| PHPMoAdmin | Удаленное выполнение кода без аутентификации |
| Plone и Zope | Удаленное выполнение команд |
| QuickTime Streaming Server | 'parse_xml.cgi' Удаленное выполнение |
| Realtek SDK | Miniigd UPnP SOAP выполнение команд |
| Redmine SCM Repository 0.9.x/1.0.x | Выполнение произвольных команд |
| Rocket Servergraph Admin Center | fileRequestor Удаленное выполнение кода |
| SAPIDO RB-1732 | Удаленное выполнение команд |
| Seowonintech Devices | Удаленное выполнение команд |
| Spreecommerce 0.60.1 | Выполнение произвольных команд |
| LG SuperSign EZ CMS 2.5 | Удаленное выполнение кода |
| FLIR Thermal Camera FC-S/PT | Инъекция команд |
| Schneider Electric U.Motion Builder 1.3.4 | 'track_import_export.php object_id' Инъекция команд без аутентификации |
| MiCasaVerde VeraLite | Удаленное выполнение кода |
| VMware NSX SD-WAN Edge | Инъекция команд |
| WePresent WiPG-1000 | Инъекция команд |
| Wireless IP Camera (P2P) WIFICAM | Удаленное выполнение кода |
| Xfinity Gateway | Удаленное выполнение кода |
| Yealink VoIP Phone SIP-T38G | Удаленное выполнение команд |
| ZeroShell 1.0beta11 | Удаленное выполнение кода |
Читайте также
Последние новости
2009-2024 © Все права защищены.
This website - is fan-site, not an official Huawei website. The Huawei logo is a trademark of Huawei Technologies. Other trademarks are the property of their respective owners.
|