Palo Alto揭露新的Mirai僵尸网络变种病毒，锁定企业网络资安设备发动攻击

自2016年开始大举锁定物联网（IoT）装置的僵尸网络病毒Mirai，以往目标多半是针对家用连网设备，像是路由器、监视器等，入侵受害设备的手法也从暴力破解密码，演变成滥用设备的漏洞。而最近2到3年，这个僵尸网络家族目标转向企业运用的物联网设备，像是企业采用的投影机、智慧电视，以及路由器等，甚至是已终止支援的网页安全闸道设备。

但最近Palo Alto Networks自2月中旬发现的Mirai攻击行动，骇客先后锁定了9个漏洞，对于不同类型的网络设备发动攻击，当中包含了SonicWall SSL VPN设备、D-Link DNS-320防火墙、Netgear ProSAFE Plus网络交换器、Netis WF2419无线路由器，还有装置管理平台Yealink，以及Micro Focus云端服务自动化维运系统（AIOps）的报告模组Operation Bridge Reporter等，与先前被揭露的Mirai僵尸网络病毒攻击最大的不同点，就是这次攻击者锁定的设备类型非常多元，但每一类却又都只有针对一种厂商或是特定型号的设备下手。

这起攻击事故Palo Alto最早自2月16日开始，发现新的Mirai变种病毒锁定多种企业连网装置的漏洞下手。这些漏洞存在于SonicWall SSL VPN设备（VisualDoor）、D-Link DNS-320防火墙（CVE-2020-25506）、Netgear ProSAFE Plus网络交换器（CVE-2020-26919）、Netis WF2419无线路由器（CVE-2019-19356）等。此外，还有3个是未知漏洞。

事隔一周后，Palo Alto于23日看到其中1个IP地址被更新，攻击者搭配装置管理平台Yealink的漏洞CVE-2021-27561、CVE-2021-27562，来下载Mirai恶意程式。但到了3月，他们又发现骇客运用不同的网络设备漏洞进行攻击。3月3日，该公司再度看到此起攻击中的IP地址，三分之一滥用了CVE-2021-22502，这是存在于Micro Focus Operation Bridge Reporter的漏洞。13日，Palo Alto再度看到骇客滥用Netgear ProSAFE Plus网络交换器的漏洞进行攻击。

Palo Alto指出，截至3月15日，这起攻击行动仍在进行。一旦漏洞滥用成功，攻击者便会试图下载恶意壳层指令码，借此下载与执行Mirai变种病毒，以及进行暴力破解密码等，他们也呼吁企业要加以防范。

攻击者运用多为重大等级的漏洞

针对此起攻击行动，该公司提供入侵指标，以及骇客已经滥用的网络设备漏洞资讯，以便企业加以防范。其中，值得留意的是，Palo Alto指出骇客目前总共滥用9个漏洞，而且这些漏洞多半是今年发现的新漏洞，有些尚未取得CVE编号，甚至有部分是尚未确定攻击目标的漏洞，而且不少是重大漏洞。

以下是Palo Alto列出此起Mirai变种病毒攻击遭到滥用的漏洞：

1.VisualDoor

漏洞锁定目标、手法：SonicWall SSL VPN设备命令注入漏洞
影响程度：重大

2.CVE-2020-25506

漏洞锁定目标、手法：D-Link DNS-320防火墙设备RCE漏洞
影响程度：重大

3.CVE-2021-27561、CVE-2021-27562

漏洞锁定目标、手法：Yealink装置管理系统的RCE漏洞
影响程度：重大

4.CVE-2021-22502

漏洞锁定目标、手法：Micro Focus Operation Bridge Reporter的RCE漏洞，存在于该软件10.40版
影响程度：重大

5.CVE-2019-19356

漏洞锁定目标、手法：Netis WF2419无线路由器的PCE漏洞
影响程度：高

6.CVE-2020-26919

漏洞锁定目标、手法：Netgear ProSAFE Plus网络交换器的不需身份验证的RCE漏洞
影响程度：重大

7.未确认的RCE漏洞

漏洞锁定目标、手法：RCE漏洞，攻击目标不明
影响程度：N/A

8.未确认的RCE漏洞

漏洞锁定目标、手法：RCE漏洞，攻击目标不明
影响程度：N/A

9.未知漏洞

漏洞锁定目标、手法：曾被另一个僵尸网络病毒Moobot滥用，但确切攻击标的不明
影响程度：N/A