محققان امنیتی موج جدیدی از حملات سایبری را شناسایی کردهاند که دستگاههای متصل به اینترنت را با نسخه جدیدی از بدافزار Mirai هدف قرار دادهاند. با بهرهبرداری موفق از این آسیبپذیریهای شل اسکریپتهای مخرب در ادامه بدافزار Mirai را دانلود و نصب کرده و حملهی brute-forcers را اجرا میکنند. فهرست آسیبپذیریهایی که در این حملات مورد بهرهبرداری قرار گرفته در ادامه ذکر شده است:
- VisualDoor: یک آسیبپذیری تزریق دستور از راه دور در SonicWall SSL-VPN
- CVE-2020-25506: یک آسیبپذیری اجرای کد از راه دور (RCE) در D-Link DNS-320 firewall
- CVE-2021-27561 و CVE-2021-27562: دو آسیبپذیری در Yealink Device Management که به مهاجم اجازهی اجرای دستورات دلخواه بدون داشتن مجوزهای روت را میدهد.
- CVE-2021-22502: یک آسیبپذیری اجرای کد از راه دور در Micro Focus Operation Bridge Reporter (OBR) نسخهی ۱۰٫۴۰
- CVE-2019-19356: یک بهرهبرداری اجرای کد از راه دور در Netis WF2419 wireless router
- CVE-2020-26919: یک آسیبپذیری اجرای کد از راه دو در Netgear ProSAFE Plus
علاوه بر استفاده از آسیب پذیریها برای اجرای بهرهبرداری، در زنجیرهی حمله از ابزار wget برای دانلود شل اسکریپت از زیرساختهای بدافزاری استفاده میشود. این شل اسکریپتها در ادامه باینریهای Mirai را دانلود میکنند. این بدافزار دستگاههای اینترنت اشیاء با سیستم عامل لینوکس را به باتهایی تبدیل میکند که در ادامه میتوانند در حملات گسترده مورد استفاده قرار بگیرند. علاوه بر بدافزار Mirai، شل اسکریپتها فایلهای اجرایی دیگری را برای اجرای حملهی brute-force استفاده میکنند. حملهی brute-force برای نفوذ به سیستمهایی با پسوردهای ضعیف مورد استفاده قرار میگیرد.
