Botnet nhắm mục tiêu vào lỗ hổng cũ trong cổng web Symantec

Những biến thể mới của mã độc Mirai và Hoaxcalls đã và đang nhắm mục tiêu vào một lỗ hổng thực thi mã từ xa cũ (RCE) trên các phiên bản Secure Web Gateway của Symantec.
08:36 AM 22/05/2020 In bài viết này

Secure Web Gateway là bộ lọc web cho phép một doanh nghiệp hoặc người dùng cá nhân chặn các trang web có khả năng chứa quảng cáo bị phản đối, nội dung khiêu dâm, phần mềm gián điệp, virus và các nội dung phản cảm khác.

Botnet nhắm mục tiêu vào lỗ hổng cũ trong Symantec Secure Web Gateway - Ảnh 1.

Lỗ hổng bị nhắm mục tiêu ảnh hưởng tới Symantec Secure Web Gateway 5.0.2.8, một sản phẩm đã kết thúc vòng đời vào năm 2015 và không còn được hỗ trợ vào năm 2019.

Ban đầu, các nhà nghiên cứu bảo mật của Palo Alto Networks quan sát thấy, phần mềm độc hại Hoaxcalls nhắm mục tiêu vào lỗ hổng RCE vào ngày 24/4. Theo họ, đây là một phần của quá trình phát triển botnet được quan sát lần đầu tiên vào đầu tháng 4.

Ngay khi bị phát hiện, botnet đã nhắm mục tiêu vào các bộ định tuyến Draytek Vigor và các hệ thống tổng đài điện thoại IP Grandstream (IP PBX- một sản phẩm đóng gói dựa trên mã nguồn mở) có chứa lỗ hổng. Vài tuần sau đó, nó cũng nhắm mục tiêu vào một lỗ hổng trong Zyxel Cloud CNM SecuManager (một cổng quản lý bảo mật dựa trên đám mây).

Hoaxcalls đã được cập nhật rất giống với biến thể ban đầu, nhưng hỗ trợ thêm các lệnh bổ sung cho phép các tin tặc lợi dụng các thiết bị đã bị xâm phạmg để tạo ra những truy nhập ảo (proxy traffic), tải về các cập nhật và ngăn chặn khởi động lại hệ thống.

Hoaxcalls có thể khởi tạo một loạt các tấn công từ chối dịch vụ (DDoS), như các loại gây tràn yêu cầu HTTP (CONNECTION, OPTIONS, TRACE, DELETE, PUT, POST, HEAD, và GET) cùng với URG, PSH, ACK, FIN, RTS, SYN, TCP và VSE.

Palo Alto Networks chỉ ra rằng: "Việc khai thác tấn công kiểu này đã xuất hiện chỉ vài ngày sau khi các thông tin chi tiết về lỗ hổng được công bố, nhấn mạnh thực tế rằng những kẻ tạo ra botnet này đang nỗ lực kiểm thử tính hiệu quả của những phương thức tấn công mới ".

Trong tuần đầu tiên của tháng 5, các nhà nghiên cứu bảo mật cũng quan sát thấy một biến thể Mirai khai thác lỗ hổng RCE trong Symantec Secure Web Gateway 5.0.2.8. Biến thể này có tính năng giống phiên bản sửa đổi của phần mềm nén và giải nén tệp tin UPX.

Palo Alto Networks giải thích: "Trong chiến dịch này, các mẫu không chứa bất kỳ khả năng DDoS nào thì lại hỗ trợ những tính năng nguy hiểm và khai thác lỗ hổng RCE trên Symantec Secure Web Gateway".

Tuy nhiên, tốc độ lây lan của chiến dịch có nhiều hạn chế do trên thực tế cần phải có một yêu cầu xác thực cho một khai thác thành công RCE của Symantec Secure Web Gateway.

Hạnh Tâm (Theo securityweek.com)
Xem thêm