نسخه ی جدیدی از بدافزار Mirai در حال توزیع است. در ۶۰ ساعت گذشته محققان شاهد بودند نزدیک به ۱۰۰ هزار آدرس IP در حال اسکن مسیریاب های آسیب پذیر ZyXEL PK5001Z هستند. به گفته ی محققان امنیتی از شرکت Qihoo 360، انتشار بهره برداری اثبات مفهومی در پایگاه داده ی آسیب پذیری ها، یکی از علل اصلی در افزایش فعالیت های بات نت Mirai است. با بارگذاری بهره برداری در تاریخ ۳۱ اکتبر، محققان شاهد افزایش اسکن ها با بهره برداری از این کد از تاریخ ۲۲ نوامبر یعنی روز چهارشنبه بوده اند.
محققان میگویند در طول ۶۰ ساعت گذشته اسکنها روی پورت ۲۳۲۳ و ۲۳ به شدت افزایش یافته و با درصد اطمینان بالایی میتوانند بگویند که نسخهی جدیدی از بدافزار Mirai در راه است. این بدافزار جدید از آسیبپذیری با شناسهی CVE-2016-10401 در مسیریابهای قدیمی ZyXEL PK5001Z بهرهبرداری میکند. این آسیبپذیری در ژانویه سال ۲۰۱۶ میلادی به طور عمومی افشاء شده است. در مسیریابهای ZyXEL PK5001Z پسوردها هاردکد شده و مهاجم میتواند امتیازات خود را تا سطح ریشه ارتقاء دهد.
از این رو، در حال حاضر تمام مهاجمان میدانند که در مسیریابهای ZyXEL از نام کاربری و پسوردهای admin/CentryL1nk و admin/QwestM0dem بهطور پیشفرض به عنوان گواهینامههای Telnet استفاده میشود. کد بهرهبرداری که اخیرا در پایگاه دادهی آسیبپذیریها بارگذاری شده، ابتدا با استفاده از این پسوردهای Telnet از راه دور به مسیریابهای ZyXEL وارد شده و در ادامه از پسوردهای هاردکدشدهی su برای ارتقاء امتیازات خود استفاده میکند.
محققان کشف کردند که در حال حاضر نزدیک به ۱۰۰ هزار آدرس IP در حال اسکن آسیبپذیری در مسیریابهای ZyXEL هستند. به عبارت دیگر باتنت جدید Mirai تاکنون حدود ۱۰۰ هزار بات را تحت سلطهی خود در آورده است. ۶۵۷۰۰ مورد از این آدرسهای IP در آرژانتین واقع شدهاند چرا که ISP آنها در پروتکل Telnet از پسوردهای پیشفرض استفاده میکند که در کد بهرهبرداری نیز این پسوردهای پیشفرض وجود دارد.
یک خبر خوب که برای کاربران میتوانیم داشته باشیم این است که در باتهای Mirai سازوکار ماندگاری وجود نداشته و به عبارت دیگر اگر دستگاه را مجددا راهاندازی کنیم، تمامی آلودگیها ریشهکن خواهند شد. این اولین بار نیست که بدافزار Mirai مسیریابهای متعلق به یک ISP را هدف قرار داده است. قبلا نیز شاهد بودیم که ۹۰۰ هزار مسیریاب متعلق به شرکت Deutsche در آلمان را آلوده کرده بود.