{"id":229788,"date":"2020-03-21T00:23:00","date_gmt":"2020-03-20T23:23:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229788"},"modified":"2022-09-26T01:50:35","modified_gmt":"2022-09-25T23:50:35","slug":"mirai-botnet-variante-mukashi-zielt-auf-zyxel-nas","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/21\/mirai-botnet-variante-mukashi-zielt-auf-zyxel-nas\/","title":{"rendered":"Mirai-Botnet-Variante Mukashi zielt auf Zyxel-NAS"},"content":{"rendered":"

[English<\/a>]Es gibt eine neue Variante des Mirai-Botnet mit dem Namen Mukashi. Die Angreifer haben dabei vor allem ungepatchte Zyxel-NAS-Ger\u00e4te im Blick, auf denen das Botnet installiert werden soll. <\/p>\n

<\/p>\n

ZyXEL-Schwachstelle CVE-2020-9054 <\/h2>\n

\"\"Mehrere NAS-Ger\u00e4te (Network-Attached Storage) von ZyXEL enthalten eine Pre-Authentication Command Injection-Schwachstelle, die es einem Remote-Angreifer ohne Anmeldung erm\u00f6glichen k\u00f6nnte, beliebigen Code auf einem verwundbaren Ger\u00e4t auszuf\u00fchren. Dazu wurde am 24. Februar 2020 diese Sicherheitswarnung<\/a> herausgegeben. Ich hatte im Blog-Beitrag Schwachstelle CVE-2020-9054 in ZyXEL NAS-Modellen<\/a> dar\u00fcber berichtet.<\/p>\n

Mukashi-Botnet zielt auf Zyxel-NAS-Ger\u00e4te <\/h2>\n

ZDNet berichtet hier<\/a>, dass Cyber-Kriminelle die Schwachstelle CVE-2020-9054 gezielt ausnutzen, um Zyxel NAS-Ger\u00e4te anzugreifen. Die Malware mit dem Namen Mukashi verwendet Brute-Force-Angriffe mit verschiedenen Kombinationen von Standard-Anmeldeinformationen, um sich bei Zyxel-NAS-Ger\u00e4ten anzumelden. Anschlie\u00dfend versucht die Malware die Kontrolle \u00fcber diese Ger\u00e4te zu \u00fcbernehmen und diese einem Botnet hinzuzuf\u00fcgen. Das Botnet kann beispielsweise zur Durchf\u00fchrung von DDoS-Angriffen (Distributed Denial of Service) verwendet werden.<\/p>\n

Mukashi nutzt die oben erw\u00e4hnte Schwachstelle (CVE-2020-9054) in Zyxel-NAS-Ger\u00e4ten mit Firmware-Version 5.21 aus. Anschlie\u00dfend werde Remote Code Execution-Angriffe ausgef\u00fchrt, wie Sicherheitsforschern von Palo Alto Networks beobachten konnten. Die Malware scannt seit mindestens dem 12. M\u00e4rz die TCP-Ports nach potenziellen Zielen und startet Brute-Force-Angriffe, um g\u00e4ngige Kombinationen von Benutzernamen und Passw\u00f6rtern zu umgehen. Sobald die Anmeldung umgangen wurde, stellt Mukashi eine Verbindung zu einem Befehls- und Kontrollserver her, der Befehle zur Durchf\u00fchrung von DDoS-Angriffen erteilen kann.<\/p>\n

Bei der Code-Analyse der Mukashi-Malware stellten die Sicherheitsforscher fest, dass dieser, trotz Differenzen, zu gro\u00dfen Teilen mit dem Mirai-Botnet \u00fcbereinstimmt. Das Mirai-Botnet legte Ende 2016 gro\u00dfe Teile des Internets lahm oder verlangsamte Webseiten durch DDoS-Angriffe. Der Mirai-Quellcode wurde online ver\u00f6ffentlicht, so dass Cyberkriminelle \u00fcber die Werkzeuge zum Aufbau eines Botnetzes verf\u00fcgen. <\/p>\n

Zyxel hat die Schwachstelle, die Network Attached Storage- und Firewall-Produkte betrifft, letzten Monat gepatcht<\/a>, und es wird dringend empfohlen, dass alle Zyxel-Benutzer das Firmware-Update installieren, um die Ger\u00e4te vor Mukashi-Angriffen zu sch\u00fctzen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
Schwachstelle CVE-2020-9054 in ZyXEL NAS-Modellen<\/a>
Schwachstelle (CVE-2020-9054) auch in Zyxel-Firewall<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es gibt eine neue Variante des Mirai-Botnet mit dem Namen Mukashi. Die Angreifer haben dabei vor allem ungepatchte Zyxel-NAS-Ger\u00e4te im Blick, auf denen das Botnet installiert werden soll.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[2272,3081,4328,7969],"class_list":["post-229788","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-botnet","tag-geraete","tag-sicherheit","tag-zyxel-nas"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229788","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229788"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229788\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229788"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229788"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229788"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}