您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

僵尸网络Mirai和Gafgyt新变种目标瞄准Apache Struts和SonicWall

2018-9-13 03:39| 投稿: xiaotiger |来自: 互联网

摘要: 新的Mirai变种针对的是与2017年Equifax数据泄露事件相关的Apache Struts漏洞,而新的Gafgyt变种针对的是一个最近才被公开披露的漏洞,该漏洞会影响到不再受支持的旧版SonicWall全球管理系统(GMS)。

Palo Alto Networks公司旗下Unit 42威胁研究团队在上周日(9月9日)发布的一篇博文中指出,他们已经发现了众所周知的物联网僵尸网络Mirai和Gafgyt的新变种。这是两个在2016年11月之后出现的僵尸网络,主要以物联网设备为攻击目标。

根据Unit 42的说法,新的Mirai变种针对的是与2017年Equifax数据泄露事件相关的Apache Struts漏洞,而新的Gafgyt变种针对的是一个最近才被公开披露的漏洞,该漏洞会影响到不再受支持的旧版SonicWall全球管理系统(GMS)。


利用Apache Struts漏洞的Mirai变种

Unit 42表示,他们是在上周五(9月7日)发现了Mirai新变种的样本,其中包含了针对16个不同漏洞的利用程序。虽然Unit 42表示他们在过去也曾发现过一个Mirai变种同时利用了多个漏洞,但他们还是首次发现Mirai僵尸网络开始利用存在于Apache Struts中的漏洞。

通过对这个Mirai新变种的分析,Unit 42发现它所针对的Apache Struts漏洞是CVE-2017-5638,这是一个通过精心设计的Content-Type、Content-Disposition或Content-Length HTTP标头的来执行任意命令的漏洞。漏洞利用代码见下图,红框中的内容是payload。

图1.CVE-2017-5638漏洞利用代码

另外,这个Mirai新变种所针对的其他15个漏洞见下表:

表1. Mirai新变种所针对的其他15个漏洞

针对SonicWall GMS的Gafgyt变种

Unit 42发现,目前被用于托管Mirai样本的域名在8月份之前也托管了Gafgyt样本,该样本包含针对SonicWall漏洞(CVE-2018-9866)的利用程序。正如文章一开头所提到的那样,这个漏洞影响的是旧版本的SonicWall全球管理系统(GMS)。

该漏洞源于缺乏对set_time_config方法的XML-RPC请求的清理,漏洞利用代码见下图,红框中的内容是payload。

图2. CVE-2018-9866漏洞利用代码

根据Unit 42的说法,这些最初在8月5日出现的样本基于Gafgyt僵尸网络的代码库,而不是Mirai。它们所支持的一些命令见下表:

表2. Gafgyt变种支持的一些命令

Blacknurse是一种低带宽DDoS攻击,基于含有Type 3 Code 3数据包的ICMP,最初在2016年被发现,据称能够攻击大型防火墙保护下的服务器,包括Cisco Systems、Palo Alto Networks、SonicWall和Zyxel的防火墙。

结论

Unit 42的发现表明,诸如Mirai和Gafgyt这样的物联网僵尸网络似乎正在将目光越来越多地投向一些过时的设备。针对Apache Struts和SonicWall的攻击也表明,这些僵尸网络的运营商正在将目标从普通用户转向企业用户。因此,无论企业规模大小,都应该确保自己使用的系统始终保持在最新版本并及时安装新发布的补丁,同时也应该确保物联网设备置身于安全的网络环境中。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6600151529183773198/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部