ECHOBOT: Mirai-Variante taucht wieder auf und nutzt 13 neue Schwachstellen

Warnung der IT-Sicherheitsanalysten von Palo Alto Networks

[datensicherheit.de, 21.12.2019] Seit der Entdeckung der „Mirai“-Variante „ECHOBOT“ im Mai 2019 ist sie laut Erkenntnissen des Analyseteams der Palo Alto Networks, „Unit 42“, von Zeit zu Zeit immer wieder aufgetaucht. „ECHOBOT“ sei hierbei mit neuer Infrastruktur in Erscheinung getreten und einer erweiterten Liste an Schwachstellen, nach denen er sucht, um seine Angriffsfläche mit jeder Entwicklungsstufe zu vergrößern. Diese „Mirai“-Ausgabe unterscheide sich von konkurrierenden Varianten durch die Vielzahl der angesprochenen Schwachstellen, im Gegensatz zu anderen Varianten, die an bestimmten, im Laufe der Zeit bewährten Schwachstellen festhielten.

ECHOBOT: neueste Version mit insgesamt 71 einzigartigen Exploits

Im Gegensatz zu anderen „Mirai“-Varianten zeichne sich „ECHOBOT“ auch durch die große Anzahl an mitgeführten Exploits aus. So weise die neueste Version insgesamt 71 einzigartige Exploits auf, von denen 13 bisher noch nicht ausgenutzt worden seien.
Diese reichen von sehr alten CVEs noch von 2003 bis hin zu ganz aktuellen, erst Anfang Dezember 2019 veröffentlichten Schwachstellen.
Dies deute darauf hin, dass die Akteure zum einen auf Schwachstellen älterer, noch im Einsatz stehenden Geräten abzielten, aber wahrscheinlich zu alt für ein Update aufgrund von Kompatibilitätsproblemen seien. Zum anderen spekulierten die Akteure bei neueren Schwachstellen darauf, dass diese so aktuell sind, dass die Betreiber noch keinen Patch durchgeführt haben.

Im Visier: Router, Firewalls, IP-Kameras, Servermanagement-Dienstprogrammen, speicherprogrammierbare Steuerungen u.a.

Die neuen Exploits nehmen demnach eine Reihe von sowohl gängigen als auch eher seltenen Zielen ins Visier. Diese reichten von Routern, Firewalls, IP-Kameras und Servermanagement-Dienstprogrammen bis hin zu speicherprogrammierbaren Steuerungen (SPS/PLC), einem Online-Zahlungssystem und sogar einer Webanwendung zur Steuerung von Yachten.
Die zuletzt beobachtete Version sei erstmals am 28. Oktober 2019 für ein paar Stunden aufgetaucht, danach sei sie abgeschaltet worden. Am 3. Dezember 2019 sei sie erneut aufgetaucht, habe die Payload-IPs gewechselt und schließlich zwei weitere Exploits hinzugefügt, die nicht in den Samples vom Oktober enthalten gewesen seien. Während Details zu dieser Version kürzlich veröffentlicht worden seien, habe die „Unit 42“ jetzt die CVE-Nummern (sofern verfügbar) für die neuen Schwachstellen festgestellt und die Kompromittierungsindikatoren für diese von der „Unit 42“ seit Oktober verfolgten Version zur Verfügung.

Weitere Informationen zum Thema:

BLEEPING COMPUTER, Ionut Ilascu, 12.12.2019
New Echobot Variant Exploits 77 Remote Code Execution Flaws

Paloalto NETWORKS,UNIT42, 06.09.2019
New Mirai Variant Adds 8 New Exploits, Targets Additional IoT Devices

Join GitHub today, 06.08.2019
ECHOBOT

datensicherheit.de, 11.12.2018
Botnetz Mirai beschränkt sich nicht mehr nur auf IoT-Geräte

datensicherheit.de, 20.11.2018
Studie: Weit verbreiteter Mangel an Bewusstsein für IoT-Sicherheit

datensicherheit.de, 18.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein