Nieuwe Mirai-variant ontdekt door Unit 42 die zich richt op Zyxel-netwerkopslagapparaten

Unit 42, het threat intelligence team van Palo Alto Networks, heeft een nieuwe Mirai-variant ontdekt: Mukashi. De malware maakt gebruik van een recent ontdekt beveiligingslek en een reeks veelgebruikte wachtwoorden om toegang tot kwetsbare apparaten, waaronder IoT-apparaten, te krijgen.

Mukashi forceert de logins met behulp van verschillende combinaties van een aantal standaard inloggegevens, terwijl tegelijkertijd de command and control (C2)-server wordt geﮦormeerd over succesvolle aanmeldingspogingen. Meerdere, zo niet alle, Zyxel NAS-producten met firmwareversies tot 5.21 zijn kwetsbaar voor dit probleem.

Hier vind je het advies van de leverancier. En je kunt hier testen of een Zyxel NAS-apparaat kwetsbaar is.

Dit beveiligingslek heeft een kritieke beoordeling (dat wil zeggen CVSS v3.1-score van 9,8) vanwege het trivial-to-exploit karakter. Het is niet verrassend dat de bedreigingsactoren deze kwetsbaarheid misbruiken en grote schade aanrichten aan Internet of Things (IoT) -apparaten. Deze Mirai-variant werd aanvankelijk ontdekt door de verkoop van de exploitcode als een Zeroday attack; dat wil zeggen, terwijl de zwakke plek nog niet bekend was bij de leverancier. Deze eerste ontdekking vermeldde ook dat “de exploit nu gebruikt wordt door een groep kwaadwillenden die de exploit in Emotet willen bouwen”.

Deze blog bevat een overzicht van de hele cyber kill chain, inclusief afbeeldingen en IoC’s.

Wat kun je eraan doen?

Het bijwerken van de firmware wordt sterk aanbevolen om de aanvallers op afstand te houden. Complexe wachtwoorden om in te loggen worden ook geadviseerd om een hack te voorkomen.

Klanten van Palo Alto Networks worden beschermd tegen de kwetsbaarheid door de volgende producten en services:

• Nieuwe generatie firewalls met licentie voor het voorkomen van bedreigingen.
• WildFire kan de malware stoppen met statische handtekeningdetectie.

Meer informatie vind je op het blog van Unit 42.