Nov 08, 2024Ravie LakshmananIoT Usalama / Mazingira Hatarishi Wahusika tishio nyuma ya programu hasidi ya AndroxGh0st sasa wanatumia hitilafu nyingi zaidi za kiusalama zinazoathiri programu mbalimbali zinazohusu intaneti, huku pia wakitumia programu hasidi ya botnet ya Mozi. “Botnet hii hutumia utekelezaji wa nambari za mbali na njia za wizi wa hati ili kudumisha ufikiaji unaoendelea, na kuongeza udhaifu ambao haujashughulikiwa ili kupenyeza miundombinu muhimu,” CloudSEK ilisema katika ripoti mpya. AndroxGh0st ni jina linalopewa zana ya mashambulizi ya wingu ya Python ambayo inajulikana kwa kulenga programu za Laravel kwa lengo la data nyeti inayohusu huduma kama vile Amazon Web Services (AWS), SendGrid na Twilio. Imetumika tangu angalau 2022, hapo awali imeongeza dosari katika seva ya wavuti ya Apache (CVE-2021-41773), Mfumo wa Laravel (CVE-2018-15133), na PHPUnit (CVE-2017-9841) kupata ufikiaji wa awali, kuongeza marupurupu. , na kuanzisha udhibiti unaoendelea juu ya mifumo iliyoathiriwa. Mapema Januari hii, mashirika ya usalama wa mtandaoni na ya kijasusi ya Marekani yalifichua kuwa washambuliaji wanatumia programu hasidi ya AndroxGh0st kuunda botnet ya “utambulisho wa wahasiriwa na unyonyaji katika mitandao inayolengwa.” Uchambuzi wa hivi punde kutoka kwa CloudSEK unaonyesha upanuzi wa kimkakati wa lengo la kulenga, huku programu hasidi sasa ikitumia safu ya udhaifu kwa ufikiaji wa awali – CVE-2014-2120 (alama ya CVSS: 4.3) – Ukurasa wa kuingia wa Cisco ASA WebVPN wa hatari ya XSS CVE-2018- 10561 (alama ya CVSS: 9.8) – uthibitishaji wa Dasan GPON kuathirika kwa bypass CVE-2018-10562 (alama CVSS: 9.8) – Dasan GPON amri ya kuathirika kwa sindano CVE-2021-26086 (alama CVSS: 5.3) – Atlassian Jira njia traversal kuathirika CVE-2021-41277 Getabase CVE-2021-41277 Metabase. ramani ya ndani ya faili kuingizwa uwezekano wa kuathirika CVE-2022-1040 (alama ya CVSS: 9.8) – Uthibitishaji wa bypass ya Sophos Firewall hatarishi CVE-2022-21587 (alama ya CVSS: 9.8) – Oracle E-Business Suite (EBS) Uhalalishaji ambao haujathibitishwa29CV-vulnerari CVE1328 faili CVE-328 alama: 8.8) – TP-Link Archer AX21 kuathiriwa kwa sindano ya programu dhibiti CVE-2024-4577 (alama ya CVSS: 9.8) – Udhaifu wa sindano ya hoja ya PHP CGI CVE-2024-36401 (alama ya CVSS: 9.8) – Utekelezaji wa msimbo wa mbali wa GeoServer “Utekelezaji wa msimbo wa mbali wa bovu kupitia majina ya watumiaji ya kawaida ya kiutawala na matumizi a muundo thabiti wa nenosiri,” kampuni hiyo ilisema. “URL inayolengwa inaelekeza upya kwa /wp-admin/, ambayo ni dashibodi ya usimamizi wa mandharinyuma ya tovuti za WordPress. Uthibitishaji ukifaulu, utapata ufikiaji wa vidhibiti na mipangilio muhimu ya tovuti.” Mashambulizi hayo pia yameonekana yakiongeza dosari za utekelezaji wa amri ambazo hazijathibitishwa katika vifaa vya Netgear DGN na vipanga njia vya nyumbani vya Dasan GPON ili kuondoa mzigo unaoitwa “Mozi.m” kutoka kwa seva tofauti za nje (“200.124.241)[.]140” na “117.215.206[.]216”). Mozi ni botnet nyingine inayojulikana ambayo ina rekodi ya kuvutia ya vifaa vya IoT ili kuvijumuisha kwenye mtandao mbovu kwa kufanya mashambulizi ya kunyimwa huduma (DDoS) yaliyosambazwa. Wakati waandishi wa programu hasidi walikamatwa na Wachina. maafisa wa kutekeleza sheria mnamo Septemba 2021, kupungua kwa kasi kwa shughuli za Mozi hakukuonekana hadi Agosti 2023, wakati watu wasiojulikana walipotoa uamuzi. kill kubadili amri ya kusitisha programu hasidi Inashukiwa kuwa waundaji wa botnet au mamlaka ya Uchina ilisambaza sasisho ili kuisambaratisha Ujumuishaji wa AndroxGh0st wa Mozi umeibua uwezekano wa muungano wa kufanya kazi, na hivyo kuiruhusu kueneza kwa vifaa vingi zaidi kuliko hapo awali. . “AndroxGh0st sio tu kushirikiana na Mozi lakini kupachika utendakazi mahususi wa Mozi (kwa mfano, IoT) maambukizi na njia za uenezi) katika seti yake ya kawaida ya uendeshaji,” CloudSEK ilisema. “Hii itamaanisha kuwa AndroxGh0st imepanuka ili kutumia nguvu ya uenezi ya Mozi ili kuambukiza vifaa zaidi vya IoT, kwa kutumia mizigo ya Mozi kutimiza malengo ambayo vinginevyo yangehitaji utaratibu tofauti wa maambukizi.” “Ikiwa botnets zote mbili zinatumia miundombinu sawa ya amri, inaashiria kiwango cha juu cha ujumuishaji wa kiutendaji, ikimaanisha kuwa zote mbili. AndroxGh0st na Mozi ziko chini ya udhibiti wa kundi moja la wahalifu wa mtandao. Miundombinu hii inayoshirikiwa ingeboresha udhibiti wa anuwai ya vifaa, ikiboresha utendakazi na ufanisi wa uendeshaji wao wa botnet.” Je, makala haya yamekuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee zaidi tunayochapisha.