IoT Botnetze Mirai & Gafgyt greifen erneut an
Vor wenigen Tagen entdeckte „Unit 42“, das Cyber-Security Team des kalifornischen Netzwerk- und Unternehmenssicherheitsspezialisten Palo Alto Networks, neue Varianten der bekannten IoT-Botnetze Mirai und Gafgyt.
Mirai, eine Linux-Malware, ist dazu geeignet, IoT-Geräte zu kapern und diese für DDoS-Angriffe (Denial of Service (DoS; engl. für „Verweigerung des Dienstes“) bezeichnet in der Informationstechnik die Nichtverfügbarkeit eines Internetdienstes, der eigentlich verfügbar sein sollte. – Quelle: Wikipedia) zu mißbrauchen.
Gafgyt, ein anderer Trojaner (auch bekannt als Bashdoor bzw. BASHLITE), zielt ebenfalls auf Linux-Systeme im Internet der Dinge und dient gleichwohl zum Ausführen von DDoS-Angriffen auf andere Systeme.
Beide Botnetze stehen bereits seit Ende November 2016 in Verbindung zu zahllosen Angriffen auf IT- und IoT-Strukturen in aller Welt.
Mirai nutzt neue Exploits aus
Die kürzlich entdeckte neue Miari-Variante scheint 16 verschiedene Schwachstellen in Apache Struts anzugreifen.
(Struts ist ein Open-Source-Framework für die Präsentations- und Steuerungsschicht von Java-Webanwendungen. Struts beschleunigt die Entwicklung von Webanwendungen wesentlich, indem es HTTP-Anfragen in einem standardisierten Prozess verarbeitet. Dabei bedient es sich standardisierter Techniken wie JavaServlets, JavaBeans, Resource Bundles und XML sowie verschiedener Apache-Commons-Pakete. – Quelle: Wikipedia)
Der Exploit wurde auf CVE-2017-5638 angesetzt; eine gängige Schwachstelle bei der Befehlsausführung über selbsterstellte Content-Type-, Content-Disposition- oder Content-Length-HTTP-Header.
Gafgyt attackiert SonicWall
Beim Auffinden der neuen Miari-Variante entdeckte „Unit 42“ – das Cyber-Security Team des kalifornischen Netzwerk- und Unternehmenssicherheitsspezialisten Palo Alto Networks – auch eine bislang unbekannte Variante von Gafgyt, die Schwachstellen im Global Management System (GMS) von SonicWall attackiert.
Die Integration von Exploits, die auf Apache Struts und SonicWall abzielen, werden als Hinweis darauf gewertet, dass sich diese IoT-/Linux-Botnetze von Consumer-Geräten zu Zielen in Unternehmen verlagern! Alle Unternehmen sollten daher sicherstellen, dass sie nicht nur ihre Systeme auf dem neuesten Stand halten, sondern auch ihre IoT-Geräte.