Новая уязвимость может позволить Mirai «пережить» перезагрузку устройства

До недавнего времени все вредоносные семейства, ориентированные на устройства из категории «Интернет вещей» (Internet of Things, IoT) существовали на инфицированном устройстве только до момента его перезагрузки, в результате которой вредоносы удалялись из памяти устройства. Однако специалисты компании Pen Test Partners выявили новую уязвимость, которая могла бы позволить печально известному червю Mirai и другим IoT-вредоносам пережить перезагрузку оборудования, что привело бы к появлению постоянных IoT-ботнетов.

Как пояснил исследователь Кен Манро (Ken Munro), он и его коллеги обнаружили способ удаленно исправлять проблемы в устройствах, уязвимых к Mirai. Но подвох заключается в том, что этот же метод может использоваться для предотвращения удаления вредоносного ПО в результате перезагрузки. Эксперты отказались обнародовать подробности уязвимости в связи с опасениями, что ее могут взять на вооружение злоумышленники и создать неудаляемые версии Mirai.

Данная уязвимость была обнаружена в ходе изучения цифровых видеорегистраторов более 30 торговых марок. Помимо вышеуказанной проблемы, эксперты выявили ряд других уязвимостей в устройствах, эксплуатация которых могла бы превратить Mirai еще в более опасную угрозу. В частности некоторые видеорегистраторы содержали установленные по умолчанию учетные данные, которые могли бы пополнить список, используемый Mirai; несколько моделей видеорегистраторов позволяли удаленно выполнить команды при авторизации через порт 9527 с использованием учетных данных admin/ и admin/123456. Одна из моделей использовала ежедневно изменяемые пароли, однако все они были опубликованы в сопроводительной документации.

Наконец, исследователи обнаружили уязвимость переполнения буфера в прошивках более 1 млн видеорегистраторов, подключенных к интернету. По словам экспертов, проблема может быть проэксплуатирована через порт 80 - встроенный web-сервер, активированный по умолчанию в большинстве устройств, и предоставляющий пользователям возможность удаленно управлять видеорегистраторами. Кроме того, специалисты выявили уязвимость типа обход каталога (Directory Traversal), позволяющую получить хэши паролей устройств.

Mirai - червь и ботнет, образованный скомпрометированными устройствами из разряда «Интернет вещей» (видеопроигрыватели, «умные» веб-камеры и пр.). Инфицирование целевого устройства осуществляется посредством брутфорс-атаки на порт Telnet с использованием списка дефолтных учетных данных администратора. Оказавшись на системе, вредонос связывается с C&C-сервером злоумышленников и ожидает команды. Mirai может осуществлять DDoS-атаки и использует брутфорс для распространения на другие устройства.

Источник