Biến thể Mirai mới nhắm vào lỗ hổng trên bộ định tuyến Comtrend

Được phát hiện lần đầu tiên vào năm 2016 với mã nguồn được công bố trực tuyến vào tháng 10 cùng năm, Mirai được khai thác để tạo botnet thực hiện tấn công từ chối dịch vụ phân tán (DDoS). Một số botnet này đã xuất hiện trong những tháng qua, bao gồm SORA, UNSTABLE và Mukashi.

Theo các nhà nghiên cứu bảo mật của Trend Micro, phiên bản botnet mới nhắm mục tiêu vào CVE-2020-10173, một lỗ hổng trên bộ định tuyến VR-3033 thương hiệu Comtrend (Comtrend VR-3033).

Trend Micro cho biết: "Một lỗ hổng cấy lệnh đã xác thực có thể bị những kẻ tấn công từ xa khai thác gây tổn hại tới mạng được bộ định tuyến quản lý". Bằng chứng chứng minh (PoC - Proof-of-concept) mã của lỗ hổng đã được công bố công khai nhưng biến thể Mirai là phần mềm độc hại đầu tiên nỗ lực khai thác nó ở quy mô lớn.

Tuy nhiên, CVE-2020-10173 chỉ là một trong những lỗ hổng được nhắm mục tiêu bởi sự xuất hiện lại của phần mềm độc hại này. Trên thực tế, lỗ hổng này hàm chứa 9 lỗ hổng khác, bao gồm cả một lỗ hổng gần đây trên các bộ định tuyến GPON của Netlink.

Mặc dù lỗ hổng bảo mật thực thi mã từ xa này đã được phát hiện vào đầu năm nay nhưng đã được thêm vào "kho vũ khí" của botnet Hoaxcalls. Ngoài ra, biến thể Mirai mới còn nhắm mục tiêu tới hàng loạt lỗ hổng bảo mật cũ đã bị các biến thể botnet khác khai thác trước đây, bao gồm lỗ hổng ảnh hưởng tới LG SuperSign EZ CMS, thiết bị AVTECH, thiết bị D-Link, MVPower DVR, Symantec Web Gateway 5.0.2.8 và ThinkPHP.

Theo Trend Micro: "Việc sử dụng lỗ hổng CVE-2020-10173 trong mã của biến thể này cho thấy cách mà các nhà phát triển botnet tiếp tục mở rộng "kho vũ khí" của mình để lây nhiễm càng nhiều mục tiêu càng tốt và tận dụng khả năng mở của các thiết bị chưa được vá. Trong trường hợp đặc biệt, những lỗ hổng mới được phát hiện mang lại cơ hội tốt hơn cho bọn tội phạm mạng. Người dùng thậm chí không biết về việc tồn tại lỗ hổng nên có thể không cập nhật bản vá".

Các nhà nghiên cứu lưu ý rằng, lỗ hổng ảnh hưởng tới các bộ định tuyến của Comtrend và có thể bị các botnet DDoS khác lạm dụng vì chúng có xu hướng sao chép công nghệ của nhau.