Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

Palo Alto Networks fanf aktuelle Samples einer Mirai-Variante, die Exploits für 16 verschiedene Schwachstellen enthielt

[datensicherheit.de, 10.09.2018] Unit 42, das Anti-Malware-Team von Palo Alto Networks, meldet neue Varianten der bekannten IoT-Botnets Mirai und Gafgyt. Dabei handelt es sich um IoT-Botnets, die mit den großangelegten DDoS-Angriffen (Distributed Denial of Service) im November 2016 und danach in Zusammenhang stehen.

Instanz von Mirai zielt auf eine Schwachstelle in Apache Struts

Am 7. September 2018 fanden die IT-Sicherheitsexperten von Palo Alto Networks aktuelle Samples einer Mirai-Variante, die Exploits für 16 verschiedene Schwachstellen enthielt. Während in der Vergangenheit die Verwendung mehrerer Exploits innerhalb einer einzigen Stichprobe von Mirai beobachtet wurde, ist dies die erste bekannte Instanz von Mirai, die auf eine Schwachstelle in Apache Struts abzielt. Darüber hinaus identifizierte Unit 42 die aktuelle Hosting-Domain dieser Mirai-Samples. Auf dieser IP-Adresse wurden zeitweise Samples von Gafgyt gehostet, die einen Exploit gegen CVE-2018-9866 enthielten, eine SonicWall-Schwachstelle, die ältere Versionen von SonicWall GMS betrifft.

Die kürzlich von den Sicherheitsexperten entdeckten Varianten sind aus zwei Gründen bemerkenswert:

• Die neue Mirai-Version zielt auf die gleiche Schwachstelle von Apache Struts ab, die bei dem spektakulären Datensicherheitsvorfall beim US-Finanzdienstleister Equifax im Jahr 2017 ausgenutzt wurde.
• Die neue Gafgyt-Version zielt auf eine neue Schwachstelle ab, die ältere, nicht unterstützte Versionen des Global Management System (GMS) von SonicWall betrifft.

Diese Entwicklungen deuten darauf hin, dass die zwei IoT-Botnets zunehmend auf Unternehmensgeräte mit veralteten Softwareversionen ausgerichtet sind. Alle Unternehmen sollten daher sicherstellen, dass sie nicht nur ihre Systeme auf dem neuesten Stand halten, sondern auch ihre IoT-Geräte.

Die Integration von Exploits, die auf Apache Struts und SonicWall abzielen, könnte auch ein Hinweis darauf sein, dass sich diese IoT-/Linux-Botnets von Consumer-Geräten zu Zielen in Unternehmen verlagern. Der Exploit, der in der neuen Variante auf Apache Struts abzielt, wurde auf CVE-2017-5638 angesetzt, eine gängige Schwachstelle bei der Befehlsausführung über selbsterstellte Content-Type-, Content-Disposition- oder Content-Length-HTTP-Header.

Weitere Informationen zum Thema:

Palo Alto Networks Blog
Multi-exploit IoT/Linux Botnets Mirai and Gafgyt Target Apache Struts, SonicWall

datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

datensicherheit.de, 31.08.2018
CAST-Workshop: IoT – Anforderungen und Herausforderungen an die IT-Sicherheit

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 29.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

datensicherheit.de, 09.12.2016
CISO Security Studie: Über 80 Prozent der Unternehmen mit IT-Sicherheits-Strategie

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein