APP下载

Palo Alto揭露新的Mirai僵尸网络变种病毒,锁定企业网络资安设备发动攻击

消息来源:baojiabao.com 作者: 发布时间:2026-02-21

报价宝综合消息Palo Alto揭露新的Mirai僵尸网络变种病毒,锁定企业网络资安设备发动攻击
图片来源: 

Palo Alto Networks

自2016年开始大举锁定物联网(IoT)装置的僵尸网络病毒Mirai,以往目标多半是针对家用连网设备,像是路由器、监视器等,入侵受害设备的手法也从暴力破解密码,演变成滥用设备的漏洞。而最近2到3年,这个僵尸网络家族目标转向企业运用的物联网设备,像是企业采用的投影机、智慧电视,以及路由器等,甚至是已终止支援的网页安全闸道设备。

但最近Palo Alto Networks自2月中旬发现的Mirai攻击行动,骇客先后锁定了9个漏洞,对于不同类型的网络设备发动攻击,当中包含了SonicWall SSL VPN设备、D-Link DNS-320防火墙、Netgear ProSAFE Plus网络交换器、Netis WF2419无线路由器,还有装置管理平台Yealink,以及Micro Focus云端服务自动化维运系统(AIOps)的报告模组Operation Bridge Reporter等,与先前被揭露的Mirai僵尸网络病毒攻击最大的不同点,就是这次攻击者锁定的设备类型非常多元,但每一类却又都只有针对一种厂商或是特定型号的设备下手。

这起攻击事故Palo Alto最早自2月16日开始,发现新的Mirai变种病毒锁定多种企业连网装置的漏洞下手。这些漏洞存在于SonicWall SSL VPN设备(VisualDoor)、D-Link DNS-320防火墙(CVE-2020-25506)、Netgear ProSAFE Plus网络交换器(CVE-2020-26919)、Netis WF2419无线路由器(CVE-2019-19356)等。此外,还有3个是未知漏洞。

事隔一周后,Palo Alto于23日看到其中1个IP地址被更新,攻击者搭配装置管理平台Yealink的漏洞CVE-2021-27561、CVE-2021-27562,来下载Mirai恶意程式。但到了3月,他们又发现骇客运用不同的网络设备漏洞进行攻击。3月3日,该公司再度看到此起攻击中的IP地址,三分之一滥用了CVE-2021-22502,这是存在于Micro Focus Operation Bridge Reporter的漏洞。13日,Palo Alto再度看到骇客滥用Netgear ProSAFE Plus网络交换器的漏洞进行攻击。

Palo Alto指出,截至3月15日,这起攻击行动仍在进行。一旦漏洞滥用成功,攻击者便会试图下载恶意壳层指令码,借此下载与执行Mirai变种病毒,以及进行暴力破解密码等,他们也呼吁企业要加以防范。

攻击者运用多为重大等级的漏洞

针对此起攻击行动,该公司提供入侵指标,以及骇客已经滥用的网络设备漏洞资讯,以便企业加以防范。其中,值得留意的是,Palo Alto指出骇客目前总共滥用9个漏洞,而且这些漏洞多半是今年发现的新漏洞,有些尚未取得CVE编号,甚至有部分是尚未确定攻击目标的漏洞,而且不少是重大漏洞。

以下是Palo Alto列出此起Mirai变种病毒攻击遭到滥用的漏洞:

1.VisualDoor

漏洞锁定目标、手法:SonicWall SSL VPN设备命令注入漏洞
影响程度:重大

2.CVE-2020-25506

漏洞锁定目标、手法:D-Link DNS-320防火墙设备RCE漏洞
影响程度:重大

3.CVE-2021-27561、CVE-2021-27562

漏洞锁定目标、手法:Yealink装置管理系统的RCE漏洞
影响程度:重大

4.CVE-2021-22502

漏洞锁定目标、手法:Micro Focus Operation Bridge Reporter的RCE漏洞,存在于该软件10.40版
影响程度:重大

5.CVE-2019-19356

漏洞锁定目标、手法:Netis WF2419无线路由器的PCE漏洞
影响程度:高

6.CVE-2020-26919

漏洞锁定目标、手法:Netgear ProSAFE Plus网络交换器的不需身份验证的RCE漏洞
影响程度:重大

7.未确认的RCE漏洞

漏洞锁定目标、手法:RCE漏洞,攻击目标不明
影响程度:N/A

8.未确认的RCE漏洞

漏洞锁定目标、手法:RCE漏洞,攻击目标不明
影响程度:N/A

9.未知漏洞

漏洞锁定目标、手法:曾被另一个僵尸网络病毒Moobot滥用,但确切攻击标的不明
影响程度:N/A

2021-03-17 23:10:00

相关文章