{"id":260471,"date":"2021-12-14T00:12:00","date_gmt":"2021-12-13T23:12:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260471"},"modified":"2021-12-24T02:05:56","modified_gmt":"2021-12-24T01:05:56","slug":"mirai-botnet-moobot-zielt-auf-hikvision-kamerasysteme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/14\/mirai-botnet-moobot-zielt-auf-hikvision-kamerasysteme\/","title":{"rendered":"Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Heute ist T\u00fcrchen Nummer 14 im Sicherheits-Adventskalender mit einer kleinen Information f\u00fcr Betreiber von Hikvision-Kamerasystemen (und OEM-Systemen) dran. Sicherheitsforscher von Fortinet haben bereits am 6. Dezember 2021 davor gewarnt, dass das Mirai-basierende Botnet Moobot Angriffe auf Schwachstellen in den Webservern von Hikvision-Kamerasystemen angreift. Es reicht eine pr\u00e4parierte Anweisung an den Webserver zu schicken, um Befehle zu injizieren und das Ganze zu kompromittieren. Die Systeme werden dann durch das Botnet f\u00fcr DDoS-Angriffe missbraucht.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber diverse Berichte im Internet, aber auch \u00fcber nachfolgenden Tweet<\/a> auf diesen Sachverhalt gesto\u00dfen, den Fortinet in diesem Artikel<\/a> n\u00e4her beschreibt.<\/p>\n

\"Mirai<\/a><\/p>\n

Schwachstelle CVE-2021-36260 in Hikvision-IP-Kameras<\/h2>\n

Der Anbieter Hikvision hat verschiedene \u00dcberwachungskamerasysteme im Angebot, die dann \u00fcber ihre Firmware mit einem im Internet betriebenen Webserver kommunizieren. Hikvision-Kamerasysteme werden auch von vielen OEMs unter eigenem Namen eingesetzt.<\/p>\n

\"Hikvision<\/p>\n

<\/h3>\n

Bereits im Juni 2020 hat ein Sicherheitsforscher eine Schwachstelle entdeckt und am 18. September 2021 das Dokument Unauthenticated Remote Code Execution (RCE) vulnerability in Hikvision IP camera\/NVR firmware (CVE-2021-36260)<\/a> ver\u00f6ffentlicht. Er war auf eine Command-Injection-Schwachstelle CVE-2021-36260<\/a> im Webserver einiger Hikvision-Produkte gesto\u00dfen, die vom Hersteller seiner Sicherheitsmeldung HSRC-202109-01<\/a> vom 19. September 2021 best\u00e4tigt wurde.<\/p>\n

Alle Kameramodelle, die in der Sicherheitsmeldung HSRC-202109-01<\/a> vom 19. September 2021 aufgef\u00fchrt werden und per Port-Forwarding aus dem Internet erreichbar sind, weisen in den \u00e4lteren Firmware-Versionen diese Schwachstelle auf. Angreifer k\u00f6nnten dann die volle Kontrolle \u00fcber diese Kameras erlangen. Ich hatte im Blog-Beitrag Schwachstelle in 100 Millionen IP-Kameras von Hikvision und OEMs<\/a> auf diesen Sachverhalt hingewiesen. Und ich hatte Betreibern der Kamerasysteme nahe gelegt, zeitnah zu reagieren. Denn es gibt Firmware-Updates f\u00fcr die betroffenen Systeme (siehe<\/a>).<\/p>\n

Fortinet beobachtet Angriffe<\/h2>\n

Kurz nach Bekanntwerden der Schwachstelle hatten die FortiGuard Labs eine IPS-Signatur (Intrusion Prevention System Signatur) entwickelt, die Angriffe auf die Schwachstelle erkennt. Bereits w\u00e4hrend der Analyse der Schwachstelle beobachteten die Fortinet Sicherheitsforscher zahlreiche Payloads, die \u00fcber diese Schwachstelle versuchten, den Status von Ger\u00e4ten zu pr\u00fcfen oder sensible Daten von Opfern zu extrahieren.<\/p>\n

Eine Nutzlast erregte die besondere Aufmerksamkeit der Sicherheitsforscher. Die Schadfunktion versucht, einen Downloader auf dem Hikvision Webserver zu injizieren. Der Downloader weist ein Infektionsverhalten auf und f\u00fchrt zudem Moobot aus. Moobot ist ein DDoS-Botnetz, das auf Mirai basiert.<\/p>\n

Die Sicherheitsforscher erkl\u00e4ren in diesem Blog<\/a>, wie ein Angreifer diese Nutzlast \u00fcber die Hikvision-Schwachstelle einschleust, und geben Details zum Botnet preis. Ein infiziertes Hikvision-System erh\u00e4lt vom Botnet den Befehl, einen DDoS-Angriff auf eine bestimmte IP-Adresse und Portnummer auszuf\u00fchren. Wer also Hikvision-Systeme betreibt, sollte pr\u00fcfen, ob die Systeme infiziert sind – Fortinet gibt hier<\/a> einige Hinweise.<\/p>\n

Artikel des Security-Adventskalenders
\n<\/strong>1.\u00a0Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a>
\n2.\u00a0Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a>
\n3.\u00a0Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a>
\n4.\u00a0Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\n5.\u00a0BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a>
\n6.\u00a0Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a>
\n7.\u00a0Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a>
\n8.\u00a0Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a>
\n9.\u00a0Hellmann Logistics Opfer eines Cyberangriffs<\/a>
\n10.\u00a0Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a>
\n11.\u00a0Malware in Android Apps am Beispiel von GriftHorse<\/a>
\n12.\u00a0Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a>
\n13.\u00a0Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a>
\n14.\u00a0Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a>
\n15.\u00a0Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a>
\n16:\u00a0H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a>
\n17:\u00a0Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n18:\u00a0Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a>
\n19:\u00a0Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a>
\n20:\u00a0CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a>
\n21:\u00a0Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a>
\n22:\u00a0Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a>
\n23:\u00a0BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a>
\n24:\u00a0Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Heute ist T\u00fcrchen Nummer 14 im Sicherheits-Adventskalender mit einer kleinen Information f\u00fcr Betreiber von Hikvision-Kamerasystemen (und OEM-Systemen) dran. Sicherheitsforscher von Fortinet haben bereits am 6. Dezember 2021 davor gewarnt, dass das Mirai-basierende Botnet Moobot Angriffe auf Schwachstellen in den Webservern … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-260471","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260471","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260471"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260471\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260471"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260471"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260471"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}