11. Oktober 2018 | Artikel drucken | |

Warnung: Neue Varianten der IoT-Botnets Mirai und Gafgyt unterwegs

Palo Alto Network’s Anti-Malware-Team, Unit 42, warnt vor neuen Varianten des Multi-Exploit-Botnets Mirai und Gafgyt. Bei den beiden Malwares handelt es sich um IoT-Botnets, die mit den großangelegten DDoS-Angriffen(Distributed Denial of Service) von November 2016 in Zusammenhang stehen.

Im vergangenen Monat fanden die IT-Sicherheitsexperten von Palo Alto Networks aktuelle Samples einer Mirai-Variante, die Exploits für 16 verschiedene Schwachstellen enthielt. Während in der Vergangenheit die Verwendung mehrerer Exploits innerhalb einer einzigen Stichprobe von Mirai beobachtet wurde, ist dies die erste bekannte Instanz von Mirai, die auf eine Schwachstelle in Apache Struts abzielt. Darüber hinaus identifizierte Unit 42 die aktuelle Hosting-Domain dieser Mirai-Samples. Auf dieser IP-Adresse wurden zeitweise Samples von Gafgyt gehostet, die einen Exploit gegen CVE-2018-9866 enthielten, eine SonicWall-Schwachstelle, die ältere Versionen von SonicWall GMS betrifft.

Die kürzlich von den Sicherheitsexperten entdeckten Varianten sind aus zwei Gründen bemerkenswert:

  • Die neue Mirai-Version zielt auf die gleiche Schwachstelle von Apache Struts ab, die bei dem spektakulären Datensicherheitsvorfall beim US-Finanzdienstleister Equifax im Jahr 2017 ausgenutzt wurde.
  • Die neue Gafgyt-Version zielt auf eine neue Schwachstelle ab, die ältere, nicht unterstützte Versionen des Global Management System (GMS) von SonicWall betrifft.

Diese Entwicklungen deuten darauf hin, dass die zwei IoT-Botnets zunehmend auf Unternehmensgeräte mit veralteten Softwareversionen ausgerichtet sind. Alle Unternehmen sollten daher sicherstellen, dass sie nicht nur ihre Systeme auf dem neuesten Stand halten, sondern auch ihre IoT-Geräte. 
Die Integration von Exploits, die auf Apache Struts und SonicWall abzielen, könnte auch ein Hinweis darauf sein, dass sich diese IoT-/Linux-Botnets von Consumer-Geräten zu Zielen in Unternehmen verlagern. Der Exploit, der in der neuen Variante auf Apache Struts abzielt, wurde auf CVE-2017-5638angesetzt, eine gängige Schwachstelle bei der Befehlsausführung über selbsterstellte Content-Type-, Content- Disposition- oder Content-Length-HTTP-Header.

 

Weitere Details dazu finden Sie hier.

 

Dieser Beitrag basiert auf einer Pressemitteilung von Palo Alto Networks.
Titelbild: iStock/ PeopleImages

Hier schreibt Redaktion für Sie

Mehr Artikel vom Autor