Juniper Networks warnt davor, dass Session Smart Router (SSR)-Produkte mit Standardpasswörtern als Teil einer bösartigen Kampagne, die die Mirai-Botnet-Malware einsetzt, ins Visier genommen werden.
Das Unternehmen gab diese Meldung heraus, nachdem "mehrere Kunden" am 11. Dezember 2024 ein anomales Verhalten auf ihren Session Smart Network (SSN)-Plattformen gemeldet hatten.
"Diese Systeme wurden mit der Mirai-Malware infiziert und anschließend als Quelle für DDoS-Angriffe auf andere Geräte verwendet, die über ihr Netzwerk zugänglich sind", hieß es. "Die betroffenen Systeme benutzten alle Standard-Passwörter.
Mirai, dessen Quellcode 2016 geleakt wurde, hat im Laufe der Jahre mehrere Varianten hervorgebracht. Die Malware ist in der Lage, nach bekannten Schwachstellen und Standardanmeldeinformationen zu suchen, um Geräte zu infiltrieren und sie in ein Botnetz einzubinden, das DDoS-Angriffe (Distributed Denial of Service) ausführt.
Um solche Bedrohungen abzuschwächen, wird Unternehmen empfohlen, ihre Passwörter mit sofortiger Wirkung in sichere, eindeutige Passwörter zu ändern (falls noch nicht geschehen), die Zugriffsprotokolle regelmäßig auf Anzeichen verdächtiger Aktivitäten zu überprüfen, Firewalls zu verwenden, um unbefugten Zugriff zu blockieren, und die Software auf dem neuesten Stand zu halten.
Zu den Indikatoren, die mit Mirai-Angriffen in Verbindung gebracht werden, gehören ungewöhnliche Port-Scans, häufige SSH-Anmeldeversuche, die auf Brute-Force-Angriffe hindeuten, ein erhöhtes Volumen an ausgehendem Datenverkehr zu unerwarteten IP-Adressen, zufällige Neustarts und Verbindungen von bekannten bösartigen IP-Adressen.
"Wenn ein System infiziert ist, kann die Bedrohung nur durch ein Re-Imaging des Systems gestoppt werden, da nicht genau festgestellt werden kann, was auf dem Gerät verändert oder entwendet wurde", so das Unternehmen.
Die Entwicklung kommt, nachdem das AhnLab Security Intelligence Center (ASEC) aufgedeckt hat, dass schlecht verwaltete Linux-Server, insbesondere öffentlich zugängliche SSH-Dienste, von einer bisher nicht dokumentierten DDoS-Malware-Familie mit dem Namen cShell angegriffen werden.
"cShell wurde in der Sprache Go entwickelt und zeichnet sich dadurch aus, dass es die Linux-Tools screen und hping3 ausnutzt, um DDoS-Angriffe durchzuführen", so ASEC.
DigiEver-Schwachstelle wird zur Verbreitung der Mirai-Botnet-Variante ausgenutzt#
In einem neuen Bericht, der am 19. Dezember 2024 veröffentlicht wurde, hat Akamai aufgedeckt, dass eine Schwachstelle in DigiEver DS-2105 Pro DVRs (keine CVE) von Angreifern ausgenutzt wird, um eine Variante des Mirai-Botnets mit dem Namen "Hail Cock" mindestens seit Oktober 2024 zu verbreiten. Das Botnet war schätzungsweise bereits einen Monat vor den Aktivitäten aktiv.
Die fragliche Schwachstelle wurde als Post-Auth Arbitrary File Write beschrieben, das in Kombination mit DVRs mit schwachen Passwörtern funktioniert. Die auf den Geräten installierte Malware führt anschließend Brute-Force-Angriffe über Telnet und SSH aus, um das Botnet zu vergrößern.
Akamai told The Hacker News that it has not heard from the vendor yet to know if the DigiEver vulnerability has been patched. In addition to the code execution exploit, the campaign has been observed targeting other known vulnerabilities –
- CVE-2023-1389 (CVSS-Score: 8.8), eine Sicherheitslücke durch Befehlsinjektion, die TP-Link-Router betrifft
- CVE-2018-17532 (CVSS-Score: 9.8), mehrere unauthentifizierte Betriebssystem-Befehlsinjektionsschwachstellen in Teltonika RUT9XX Routern
"Cyberkriminelle nutzen das Erbe der Mirai-Malware schon seit Jahren, um Botnet-Kampagnen zu starten, und das neue Hail Cock-Botnet bildet da keine Ausnahme", so die Akamai-Forscher Kyle Lefton, Daniel Messing und Larry Cashdollar. "Eine der einfachsten Methoden für Bedrohungsakteure, neue Hosts zu kompromittieren, besteht darin, veraltete Firmware oder ausgemusterte Hardware ins Visier zu nehmen."
"Der DigiEver DS-2105 Pro, der jetzt etwa 10 Jahre alt ist, ist ein Beispiel dafür. Hardwarehersteller geben nicht immer Patches für ausgemusterte Geräte heraus, und der Hersteller selbst kann manchmal nicht mehr existieren."
