I ricercatori dell’Unità 42 di Palo Alto Networks hanno esaminato quattro varianti Mirai operanti in due campagne scoperte di recente e che sfruttano come veicoli di diffusione due exploit per IoT.
Mirai è un malware implementato per operare su dispositivi connessi a Internet, in particolare su diverse piattaforme utilizzate nei dispositivi IoT, rendendoli parte integrante di una botnet usata per attacchi informatici su larga scala. Infatti l’infrastruttura Mirai, scoperta per la prima volta nel 2016 è stata ampiamente utilizzata per sferrare imponenti tipologie di attacchi DDoS.
I due exploit IoT
In entrambi gli exploit rilevati è il tool comune wget (usato per gestire i server Linux in remoto tramite sessione ssh) a rappresentare il mezzo di propagazione di diversi binari Mirai compilati per essere eseguiti su diverse architetture. Nello specifico tale utilità viene richiamata per scaricare uno shell script dall’infrastruttura malevola, sfruttando un mancato processo di sanificazione di alcuni parametri HTTP utilizzati.
Nel primo exploit un command injection viene adoperato durante il processo di impostazione di un server Web NTP (Network Time Protocol) per la sincronizzazione dell’ora. In questo caso il servizio non riesce a disinfettare il valore del parametro HTTP NTP_SERVER, che quindi può portare all’esecuzione di comandi arbitrari e quindi al download di un binario Mirai compatibile.
A tal proposito, l’analisi condotta ha trovato nei firmware di alcuni dispositivi IoT (per alcuni dei quali i fornitori non forniscono più supporto) diverse routine di gestione NTP vulnerabili per la sincronizzazione dell’ora tramite HTTP.
Il secondo exploit per il quale i ricercatori hanno ricavato però meno informazioni, potrebbe invece consentire un command injection arbitrario, sfruttando una mancata sanificazione del parametro HTTP pid di un non meglio specificato servizio mirato (probabilmente uno strumento di gestione di processi remoti).
Le quattro nuove varianti Mirai
Tutte e quattro le varianti Mirai, possiedono delle funzionalità atte a sferrare attacchi DDoS e sfruttano come metodo di consegna i due exploit rilevati, come di seguito riportato:
- le varianti Mirai 1 e 2 utilizzano come metodo di consegna l’exploit 1;
- le varianti Mirai 3 e 4 utilizzano come metodo di consegna l’exploit 2;
Tra queste varianti la numero quattro, affermano i ricercatori, rappresenta la minaccia più pericolosa, possedendo altre caratteristiche di infezione non presenti nelle altre:
- sfrutta gli exploit già utilizzati nelle passate varianti;
- sfrutta ulteriori vulnerabilità per infettare gli host vulnerabili:
Android debug bridge shell, CVE-2019-14931, Fastweb Fastgate RCE, ASUS RT-AC66U RCE, HomeMatic Zentrale CCU2 RCE, EnGenius RCE, CVE-2013-2251, CVE-2015-1187, Netlink GPON Router RCE, ThinkPHP RCE, D-Link Router RCE, CVE-2020-5722, Vacron NVR RCE, CVE-2019-16920, CVE-2019-10655, Netgear RCE, CVE-2020-8515, CVE-2017-18377, Edimax EW-7438RPn RCE, CVE-2020-1956, CVE-2018-17173, CVE-2019-19356, 3Com OfficeConnect RCE, CVE-2018–13023, NUUO NVRmini RCE, CVE-2019-7276, CVE-2018-19276, CVE-2011-3587, Multiple IoT RCE, CVE-2016-6277, Sar2HTML RCE, CVE-2018-7841, CVE-2019-16057, CCTV-DVR RCE.
La sicurezza IoT, un problema da risolvere
Pertanto la crescente diffusione di dispositivi IoT, non solo nello smart home ma anche nel settore industriale e le previsioni che ne stimano, nei prossimi anni, un ulteriore e considerevole incremento (cresce la mole di dati da gestire e il numero di applicazioni che dovranno essere sviluppate) rendono, oramai, il tema della sicurezza IoT un serio problema la cui soluzione non può più essere rimandata.