Versi baru dari botnet IoT Mirai yang sempat booming, terdeteksi mengeksploitasi kerentanan kritis dalam perangkat penyimpanan yang terhubung dengan jaringan atau yang familiar disebut network-attached storage (NAS) dalam upaya untuk menginfeksi dan mengendalikan mesin-mesin yang rentan secara remote.
Dijuliki Mukashi, varian baru ini menggunakan serangan brute-force menggunakan berbagai kombinasi akun default untuk masuk ke perangkat yang rentan agar bisa mengambil kendali perangkat dan menambahkannya ke jaringan bot yang terinfeksi, yang mana nantinya dapat digunakan untuk melakukan serangan Distributed Denial of Service (DDoS).
Beberapa produk NAS Zyxel yang menjalankan versi firmware hingga 5.21 itu rentan, menurut tim intelijen ancaman global Unit 42 Palo Alto Networks.
https://errorcybernews.id/2019/04/10/varian-mirai-botnet-targetkan-prosesor-dan-arsitektur-baru/
Mukashi bergantung pada kerentanan pre-authentication command injection (dilacak sebagai CVE-2020-9054). Kerentanan ini terletak pada program “weblogin.cgi” yang digunakan oleh perangkat Zyxel, sehingga berpotensi memungkinkan penyerang untuk melakukan remote-code-execution melalui command injection.
Zyxel mengeluarkan perbaikan untuk kerentanan bulan lalu setelah muncul cara pengeksploitasian kerentanan itu dijual dalam forum underground seharga $20.000 untuk digunakan terhadap target. Tetapi pembaruan tersebut ternyata tidak mengatasi kerentanan pada banyak perangkat lama yang sudah tidak mendapatkan dukungan.
Mukashi Menargetkan Perangkat NAS Zyxel
Sama seperti varian Mirai lainnya, Mukashi beroperasi dengan memindai perangkat IoT yang rentan seperti router, perangkat NAS, kamera keamanan, dan perekam video digital (DVR), untuk mencari host potensial yang masih menggunakan akun standar pabrik atau yang menggunakan kata sandi lemah (weak password).
Jika brute-force berhasil, Mukashi tidak hanya melaporkan upaya login ke server command-and-control (C2) yang dikendalikan penyerang, tetapi juga menunggu perintah lebih lanjut untuk meluncurkan serangan DDoS.
Sangat disarankan agar semua pengguna Zyxel untuk mengunduh pembaruan firmware agar bisa melindungi perangkat dari serangan yang mengeksploitasi kerentanan ini. Lalu memperbarui akun default/standar pabrik dengan kata sandi yang rumit agar dapat mencegah serangan brute-force.
Daftar lengkap produk Zyxel yang terpengaruh oleh kerentanan ini tersedia di sini. Kamu juga dapat menguji apakah perangkat NAS Zyxel yang kamu gunakan rentan atau tidak di sini.
