Juniper Networks hat seine Kunden vor Mirai-Malware-Angriffen gewarnt, die das Internet nach Session-Smart-Routern durchsuchen und dabei Standard-Anmeldeinformationen verwenden.
Wie das Unternehmen für Netzwerkinfrastruktur erklärte, sucht die Malware nach Geräten mit Standard-Anmeldeinformationen und führt nach dem Zugriff Befehle aus der Ferne aus, was eine breite Palette bösartiger Aktivitäten ermöglicht.
Die Kampagne wurde erstmals am 11. Dezember beobachtet, als die ersten infizierten Router in den Netzwerken von Kunden gefunden wurden. Später nutzten die Betreiber dieses Mirai-basierten Botnetzes die kompromittierten Geräte, um verteilte Denial-of-Service-Angriffe (DDoS) zu starten.
"Am Mittwoch, den 11. Dezember 2024, meldeten mehrere Kunden verdächtiges Verhalten auf ihren Session Smart Network (SSN)-Plattformen", heißt es in einem am Dienstag veröffentlichten Sicherheitshinweis.
"Jeder Kunde, der sich nicht an die empfohlenen Best Practices hält und immer noch die Standardpasswörter verwendet, kann als gefährdet angesehen werden, da die SSR-Standardpasswörter der Virendatenbank hinzugefügt wurden."
Juniper teilte auch Indikatoren für Kompromisse mit, auf die Administratoren in ihren Netzwerken und Geräten achten sollten, um potenzielle Mirai-Malware-Aktivitäten zu erkennen, darunter:
scannt nach Geräten an gängigen Layer-4-Ports (z. B. 23, 2323, 80, 8080),
fehlgeschlagene Anmeldeversuche bei SSH-Diensten, die auf Brute-Force-Angriffe hindeuten,
plötzlicher Anstieg des Volumens des ausgehenden Datenverkehrs, der darauf hindeutet, dass Geräte für DDoS-Angriffe missbraucht werden,
Geräte, die neu starten oder sich unregelmäßig verhalten, was darauf hindeutet, dass sie kompromittiert worden sind,
SSH-Verbindungen von bekannten bösartigen IP-Adressen.
Das Unternehmen riet seinen Kunden, sofort sicherzustellen, dass ihre Geräte die empfohlenen Richtlinien für Benutzernamen und Passwörter befolgen, einschließlich der Änderung der Standard-Anmeldedaten auf allen Session Smart Routern und der Verwendung eindeutiger und sicherer Passwörter für alle Geräte.
Administratoren wird außerdem empfohlen, die Firmware auf dem neuesten Stand zu halten, Zugriffsprotokolle auf Anomalien zu überprüfen, Warnmeldungen einzurichten, die bei verdächtigen Aktivitäten automatisch ausgelöst werden, Systeme zur Erkennung von Eindringlingen einzusetzen, um die Netzwerkaktivitäten zu überwachen, und Firewalls zu verwenden, um den unbefugten Zugriff auf Geräte mit Internetzugang zu blockieren.
Juniper warnte außerdem, dass Router, die bereits von diesen Angriffen infiziert wurden, neu reimagiert werden müssen, bevor sie wieder in Betrieb genommen werden können.
"Wenn ein System als infiziert erkannt wird, besteht die einzige sichere Möglichkeit, die Bedrohung zu stoppen, darin, das System neu abzubilden, da nicht genau festgestellt werden kann, was auf dem Gerät verändert oder erlangt worden ist", so Juniper.
Im August letzten Jahres warnte der Bedrohungsüberwachungsdienst ShadowServer vor laufenden Angriffen, die auf eine kritische Exploit-Kette zur Ausführung von Remote-Code abzielten und Juniper EX-Switches und SRX-Firewalls mit Hilfe eines PoC-Exploits (Proof-of-Concept) von watchTowr Labs angriffen.
Seitdem hat Juniper im Januar auch vor einem kritischen RCE-Fehler in seinen Firewalls und Switches gewarnt und einen Patch außerhalb des Zyklus für einen Authentifizierungs-Bypass-Fehler in seinen Produkten Session Smart Router (SSR), Session Smart Conductor und WAN Assurance Router veröffentlicht.
Update December 20, 03:17 EST: Revised article and title to describe the attacks as scanning activity.
