最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

新的Zerobot恶意软件有21个针对BIG-IP、Zyxel、D-Link设备的漏洞

网络安全 快米云 来源:快米云 35浏览

新的 Zerobot 恶意软件有 21 个针对 BIG-IP、Zyxel、D-Link 设备的漏洞

11 月中旬发现了一种名为“Zerobot”的新型基于 Go 的恶意软件,该恶意软件利用了各种设备中的近两打漏洞,包括 F5 BIG-IP、Zyxel 防火墙、Totolink 和 D-Link 路由器以及 Hikvision 相机。

该恶意软件的目的是将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中,以对指定目标发起强大的攻击。

Zerobot 可以扫描网络并自我传播到相邻设备以及在 Windows (CMD) 或 Linux (Bash) 上运行命令。

Fortinet 的安全研究人员发现了 Zerobot,并表示自去年 11 月以来,出现了一个新版本,其中包含额外的模块和针对新漏洞的漏洞利用,表明该恶意软件正在积极开发中。

钻空子

该恶意软件可以针对一系列系统架构和设备,包括 i386、AMD64、ARM、ARM64、MIPS、MIPS64、MIPS64le、MIPSle、PPC64、PPC64le、RISC64 和 S390x。

Zerobot 整合了 21 个漏洞的利用,并使用它们来获取对设备的访问权限。然后它下载一个名为“零”的脚本,允许它自我传播。

获取零脚本以启用传播
获取零脚本以启用传播 (Fortinet)

Zerobot 使用以下漏洞来破坏其目标:

  • CVE-2014-08361:Realtek SDK 中的 miniigd SOAP 服务
  • CVE-2017-17106:Zivif PR115-204-P-RS 网络摄像头
  • CVE-2017-17215:华为HG523路由器
  • CVE-2018-12613:phpMyAdmin
  • CVE-2020-10987:腾达AC15 AC1900路由器
  • CVE-2020-25506:D-Link DNS-320 NAS
  • CVE-2021-35395:Realtek Jungle SDK
  • CVE-2021-36260:海康威视产品
  • CVE-2021-46422:Telesquare SDT-CW3B1 路由器
  • CVE-2022-01388:F5 大 IP
  • CVE-2022-22965:Spring MVC 和 Spring WebFlux (Spring4Shell)
  • CVE-2022-25075:TOTOLink A3000RU 路由器
  • CVE-2022-26186:TOTOLink N600R 路由器
  • CVE-2022-26210:TOTOLink A830R 路由器
  • CVE-2022-30525:Zyxel USG Flex 100(W) 防火墙
  • CVE-2022-34538:MEGApix IP 摄像机
  • CVE-2022-37061:FLIX AX8 热传感器摄像头

此外,僵尸网络还使用了四个未分配标识符的漏洞。其中两个针对 GPON 终端和 D-Link 路由器。目前尚不清楚其他两个的详细信息。

Zerobot 函数

在受感染的设备上建立存在后,Zerobot 会设置到命令和控制 (C2) 服务器的 WebSocket 连接,并发送有关受害者的一些基本信息。

C2 可能会响应以下命令之一:

  • ping – 心跳,保持连接
  • 攻击——针对不同的协议发起攻击:TCP、UDP、TLS、HTTP、ICMP
  • 停止——停止攻击
  • update – 安装更新并重启 Zerobot
  • enable_scan – 扫描开放端口并开始通过漏洞利用或 SSH/Telnet 破解程序传播自身
  • disable_scan – 禁用扫描
  • 命令——运行操作系统命令,在 Windows 上运行 cmd,在 Linux 上运行 bash
  • kill——杀死僵尸网络程序

该恶意软件还使用旨在防止终止或终止其进程的“反杀”模块。

目前,Zerobot 主要专注于发起 DDoS 攻击。但是,它也可以用作初始访问。

Fortinet 表示,自从 Zerobot 于 11 月 18 日首次出现以来,其开发人员通过字符串混淆、复制文件模块、自我传播模块和几个新的漏洞对其进行了改进。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的Zerobot恶意软件有21个针对BIG-IP、Zyxel、D-Link设备的漏洞