Ngày 01 tháng 4 năm 2023Ravie LakshmananTấn công mạng / Lỗ hổng
Các lỗ hổng bảo mật nghiêm trọng trong Cacti, Realtek và IBM Aspera Faspex đang bị nhiều tác nhân đe dọa khai thác trong các vụ tấn công nhằm vào các hệ thống chưa được vá.
Điều này dẫn đến việc lạm dụng CVE-2022-46169 (điểm CVSS: 9,8) và CVE-2021-35394 (điểm CVSS: 9,8) để cung cấp MooBot và ShellBot (hay còn gọi là PerlBot), Fortinet FortiGuard Labs cho biết trong một báo cáo được công bố trong tuần này.
CVE-2022-46169 liên quan đến một lỗ hổng bỏ qua xác thực quan trọng và chèn lệnh trong các máy chủ Cacti cho phép người dùng không được xác thực thực thi mã tùy ý. CVE-2021-35394 cũng liên quan đến lỗ hổng chèn lệnh tùy ý ảnh hưởng đến Realtek Jungle SDK đã được vá vào năm 2021.
Mặc dù loại thứ hai trước đây đã được khai thác để phân phối các botnet như Mirai, Gafgyt, Mozi và RedGoBot, nhưng sự phát triển này đánh dấu lần đầu tiên nó được sử dụng để triển khai MooBot, một biến thể Mirai được biết là đang hoạt động kể từ năm 2019.
Lỗ hổng Cacti, bên cạnh việc được tận dụng cho các cuộc tấn công MooBot, cũng đã được quan sát thấy phục vụ các tải trọng ShellBot kể từ tháng 1 năm 2023, khi vấn đề được đưa ra ánh sáng.
Ít nhất ba phiên bản khác nhau của ShellBot đã được phát hiện – viz. PowerBots (C) GohacK, LiGhT's Modded perlbot v2 và B0tchZ 0.2a – hai phần mềm đầu tiên trong số đó đã được tiết lộ gần đây bởi Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC).
Cả ba biến thể đều có khả năng dàn dựng các cuộc tấn công từ chối dịch vụ (DDoS) phân tán. PowerBots (C) GohacK và B0tchZ 0.2a cũng có khả năng mở cửa sau để thực hiện tải lên/tải xuống tệp và khởi chạy trình bao đảo ngược.
Nhà nghiên cứu Cara Lin của Fortinet cho biết: “Các nạn nhân bị xâm phạm có thể bị kiểm soát và sử dụng làm bot DDoS sau khi nhận được lệnh từ máy chủ C2. “Bởi vì MooBot có thể tiêu diệt các quá trình botnet khác và cũng có thể triển khai các cuộc tấn công vũ phu, quản trị viên nên sử dụng mật khẩu mạnh và thay đổi chúng định kỳ.”
Hoạt động khai thác lỗ hổng IBM Aspera Faspex
Lỗ hổng bảo mật thứ ba đang được khai thác tích cực là CVE-2022-47986 (điểm CVSS: 9,8), một sự cố khử tuần tự YAML nghiêm trọng trong ứng dụng trao đổi tệp Aspera Faspex của IBM.
Lỗi, được vá vào tháng 12 năm 2022 (phiên bản 4.4.2 Bản vá cấp 2), đã được tội phạm mạng đồng chọn trong các chiến dịch ransomware liên quan đến Buhti và IceFire kể từ tháng 2, ngay sau khi phát hành khai thác bằng chứng khái niệm (PoC). .
Công ty an ninh mạng Rapid7, vào đầu tuần này, đã tiết lộ rằng một trong những khách hàng của họ đã bị xâm phạm bởi một lỗ hổng bảo mật, đòi hỏi người dùng phải nhanh chóng áp dụng các bản sửa lỗi để ngăn ngừa rủi ro tiềm ẩn.
Công ty cho biết: “Bởi vì đây thường là một dịch vụ kết nối internet và lỗ hổng này có liên quan đến hoạt động của nhóm ransomware, chúng tôi khuyên bạn nên sử dụng dịch vụ ngoại tuyến nếu không thể cài đặt bản vá ngay lập tức”.
