Le botnet Mirai e Gafgyt colpiscono Apache Struts, SonicWall e svariati dispositivi IoT.

11/09/2018

apache botnet iot malware struts
I ricercatori Palo Alto (Unit 42) hanno recentemente individuato nuove varianti delle famose botnet Mirai e GafgytQueste botnet, attive a partire dalla fine del 2016, coinvolgono apparati IoT e sono associate per lo più ad attacchi di tipo DoS (Distributed Denial of Service).
 
Queste recenti varianti si contraddistinguono per due peculiarità:
  1. La nuova versione di Mirai sfrutta la stessa vulnerabilità di Apache Struts (CVE-2017-5638) che nel 2017 ha portato alla violazione dei dati di Equifax.
  2. La nuova versione di Gafgyt si rivolge a una recente vulnerabilità critica che interessa SonicWall Global Management System GMS 8.1 (Build 8110.1197) e le precedenti versioni.
Questi sviluppi suggeriscono che le nuove botnet abbiano come bersagli principali i dispositivi aziendali con versioni di software obsolete.

Analisi
Il 7 settembre 2018, li team “Unit 42” ha scovato campioni della variante Mirai in grado di sfruttare 16 distinte vulnerabilità tra cui Apache Struts. Dal dominio che ospitava i campioni Mirai, il gruppo ha identificato che l’IP associato ospitava saltuariamente anche campioni di Gafgyt in grado di sfruttare la vulnerabilità (CVE-2018-9866) che interessava le versioni precedenti di SonicWall Global Management System (GMS).
L’exploit di Apache Struts nella variante Mirai multi-exploit
Nella nuova variante i ricercatori hanno individuato che l’obiettivo dello sfruttamento è la  vulnerabilità a cui è associato il CVE-2017-5638 e contempla l’esecuzione arbitraria dei comandi tramite intestazioni HTTP Content-Type, Content-Disposition o Content-Length. Il payload  dell’exploit è evidenziato nell’immagine seguente:
 
Gli exploit incorporati nella variante Mirai affliggono i seguenti prodotti:

  • apparati con versioni Apache Struts vulnerabili,
  • apparati Linksys E-series,
  • apparati Vacron NVR,
  • alcuni apparati D-Link (RCE command.php),
  • CCTVs, DVRs di oltre 70 produttori,
  • EnGenius EnShare IoT Gigabit Cloud Service 1.4.11,
  • apparati AVTECH IP Camera/NVR/DVR,
  • Zyxel routers (CVE-2017-6884),
  • NetGain Enterprise Manager 7.2.562 (Command Injection),
  • NUUO NVRmini 2 3.0.8 (Command Injection),
  • routers Netgear DGN1000,
  • apparati D-Link (HNAP SoapAction-Header Command Execution),
  • D-Link DSL-2750B,
  • MVPower DVRs,
  • Routers Dasan GPON (CVE-2018-10561, CVE-2018-10562)
Aggiuntivi dettagli sui prodotti coinvolti sono disponibili come prospetto all’articolo originale.
SonicWall GMS exploit nella variante Gafgyt
La vulnerabilità CVE-2018-9866 presa di mira dall’exploit è generata dalla mancata validazione delle richieste XML-RPC nel metodo set_time_config. La figura seguente mostra l’exploit utilizzato con il payload in evidenza:
 

 


Conclusioni
La finalità di queste botnet rimane, in linea di massima, quella di condurre attacchi di tipo DoS.
La botnet Gafgyt sfrutta una serie di vulnerabilità di prodotti IoT, inclusi i dispositivi Huawei, GPON e D-Link. Inoltre Gafgyt supporta il metodo di attacco BlackNurse DDoS.
Mirai, che nel suo primo attacco dell’ottobre 2016 coinvolse i server di Dynamic Network Services (Dyn) provocando il blocco di oltre 1.200 siti Web, tra cui Netflix e Twitter, recentemente è stata utilizzata per lanciare una serie di campagne DDoS contro le imprese del settore finanziario. Negli scorsi mesi sono state identificate varianti denominate Satori (Mirai Okiru) e Wicked Mirai già trattate nelle seguenti news:

Le attuali evidenze raccolte dai ricercatori relativamente all’inclusione di exploit per Apache Struts e SonicWall, fa presupporre l’interesse da parte degli autori di spostare gli obiettivi dal settore consumer a quello aziendale. Per tale ragione tutte le organizzazioni dovrebbero assicurarsi di mantenere regolarmente aggiornati i loro sistemi inclusi i dispositivi IoT in uso.

 


Di seguito si forniscono gli indicatori malware associati alle botnet Mirai e Gafygt rilevati nel contesto Europeo a partire dal 5 settembre 2018:
 
IoC Mirai (.txt)
IoC Gafygt (.txt)