Wouter Hoeffnagel - 24 maart 2020

Nieuwe Mirai-variant valt netwerkopslagapparaten van Zyxel aan

Een nieuwe Mirai-variant is ontdekt: Mukashi. De malware maakt gebruik van een recent ontdekt beveiligingslek en een reeks veelgebruikte wachtwoorden om toegang tot kwetsbare apparaten, waaronder IoT-apparaten, te krijgen.

De malware is ontdekt door Unit 42, het threat intelligence team van Palo Alto Networks. Mukashi forceert de logins met behulp van verschillende combinaties van een aantal standaard inloggegevens, terwijl tegelijkertijd de command and control (C2)-server wordt geïnformeerd over succesvolle aanmeldingspogingen. Meerdere, zo niet alle, Zyxel NAS-producten met firmwareversies tot 5.21 zijn kwetsbaar voor dit probleem. Hier vind je het advies van de leverancier. En je kunt hier testen of een Zyxel NAS-apparaat kwetsbaar is.

Kritiek lek

Dit beveiligingslek krijgt een kritieke beoordeling (dat wil zeggen CVSS v3.1-score van 9,8) vanwege het trivial-to-exploit karakter. Cybercriminelen maken actief misbruik van de kwetsbaarheid. Deze Mirai-variant werd aanvankelijk ontdekt door de verkoop van de exploitcode als een Zeroday attack; dat wil zeggen, terwijl de zwakke plek nog niet bekend was bij de leverancier. Deze eerste ontdekking vermeldde ook dat "de exploit nu gebruikt wordt door een groep kwaadwillenden die de exploit in Emotet willen bouwen".

Wat kun je eraan doen?

Het bijwerken van de firmware wordt sterk aanbevolen om de aanvallers op afstand te houden. Complexe wachtwoorden om in te loggen worden ook geadviseerd om een hack te voorkomen.

  • Klanten van Palo Alto Networks worden beschermd tegen de kwetsbaarheid door de volgende producten en services:
  • Nieuwe generatie firewalls met licentie voor het voorkomen van bedreigingen.
  • WildFire kan de malware stoppen met statische handtekeningdetectie.

Meer informatie vind je op het blog van Unit 42. Hier is ook een overzicht van de hele cyber kill chain te vinden, inclusief afbeeldingen en IoC's.

Axians 12/11/2024 t/m 26/11/2024 BN+BW