Бэкдор NyaDrop атакует IoT-устройства

Бэкдор NyaDrop атакует IoT-устройства

Устройства IoT (Internet of Things) с жестко запрограммированными по умолчанию данными для входа все чаще становятся мишенью для недавно обнаруженной вредоносной программы под Linux.

Новая угроза для Linux NyaDrop была замечена полгода назад в некоторых атаках. На тот момент этот вредонос не мог успешно заразить устройства, так как не был хорошо реализован, об этом говорится в посте на Malware Must Die. Однако в последнее время вредоносная программа получила ряд усовершенствований.

По словам экспертов, основная причина этих атак кроется в давно известной уязвимости, связанной с тем, что производитель использует в устройствах по умолчанию известные данные для входа. Данный бэкдор ориентирован на уязвимые маршрутизаторы и аналогичные сетевые устройства, основанные на архитектуре процессора MIPS.

Как и другие вредоносные программы для IoT-устройств, NyaDrop использует в своей атаке метод брутфорс (brute-force), подбирая логин и пароль. Как полагают эксперты, авторы вредоноса сосредоточены на подконтрольном распространении, не ставя задачи сделать это максимально быстро. Таким образом, злоумышленники атакуют только конкретные IP.

Исследователи считают, что злоумышленник проверяет данные CPU, чтобы атаковать именно MIPS-устройства, избегая ARM и PPC. После того, как злоумышленник обнаружит уязвимую машину, на нее устанавливается NyaDrop.

NyaDrop представляет собой бэкдор под Linux, который открывает сокет AF_INET для подключения к серверу злоумышленника, что позволит получить любой исполняемый файл Linux и продолжить заражение устройства. Полученные об устройстве данные сохраняются во вредоносном ELF-файле с именем «nya».

Исполняемый файл вредоносной программы написан на C и имеет небольшой размер. Исследователи также отмечают, что детектировать этот бэкдор на основе хэш-сигнатур не получится, так как сам процесс заражения подразумевает создание нескольких хэшей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Три DoS-уязвимости затрагивают ядра Linux и FreeBSD

Джонатан Луни, эксперт в области безопасности из Netflix, обнаружил несколько уязвимостей в системах FreeBSD и Linux. В случае успешной эксплуатации эти бреши могут привести к DoS.

Всего проблем безопасности три, две из которых затрагивают параметр протокола TCP MSS (Maximum segment size) и TCP Selective Acknowledgement (SACK), а еще одна — только MSS.

Самая опасная из этих уязвимостей отслеживается под именем SACK Panic. Используя ее, атакующий может инициировать DoS и перезагрузить уязвимую систему. Эта проблема безопасности актуальна для последних версий ядра Linux.

«Эксперт Netflix обнаружил несколько уязвимостей в ядрах FreeBSD и Linux. Самая опасная из дыр — SACK Panic — может привести к удаленному выведению из строя последних версий ядра Linux», — говорится в отчете Луни.

SACK Panic также известна под идентификатором CVE-2019-11477, она получила 7,5 баллов по шкале CVSS3.

Уязвимые к SACK Panic версии ядра Linux начинаются с 2.6.29. Для устранения этой проблемы потребуется установить два патча: PATCH_net_1_4.patch и PATCH_net_1a.patch.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru