Một botnet dựa trên mã độc Mirai đang khai thác lỗ hổng thực thi mã từ xa (RCE) chưa được vá trên thiết bị DigiEver DS-2105 Pro NVR và router TP-Link với firmware lỗi thời. Chiến dịch này, bắt đầu từ tháng 10, nhắm vào nhiều thiết bị NVR và router khác.

Akamai phát hiện botnet này khai thác lỗ hổng trong URI /cgi-bin/cgi_main.cgi trên DigiEver, cho phép kẻ tấn công từ xa thực thi lệnh thông qua yêu cầu HTTP POST, sau đó tải mã độc từ máy chủ bên ngoài và thêm thiết bị vào botnet. Các thiết bị bị xâm nhập được sử dụng để thực hiện tấn công DDoS hoặc lây nhiễm sang hệ thống khác.

Biến thể Mirai mới cũng khai thác CVE-2023-1389 trên thiết bị TP-Link và CVE-2018-17532 trên router Teltonika RUT9XX. Điểm nổi bật của nó là sử dụng mã hóa XOR và ChaCha20 để tránh bị phát hiện, đồng thời nhắm mục tiêu nhiều kiến trúc hệ thống như x86, ARM và MIPS.

Các chuyên gia cảnh báo về mức độ nguy hiểm của botnet này và cung cấp các chỉ số xâm nhập (IoC) cũng như quy tắc Yara để phát hiện và ngăn chặn. Người dùng cần cập nhật firmware và triển khai biện pháp bảo mật để bảo vệ thiết bị trước các cuộc tấn công ngày càng phức tạp.

Nguồn: Bleeping computer