{"id":278189,"date":"2023-02-23T10:29:46","date_gmt":"2023-02-23T09:29:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278189"},"modified":"2023-02-24T05:02:37","modified_gmt":"2023-02-24T04:02:37","slug":"mirai-malware-variante-v3g4-ermglicht-fernzugriff-auf-iot-gerte-ber-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/23\/mirai-malware-variante-v3g4-ermglicht-fernzugriff-auf-iot-gerte-ber-schwachstellen\/","title":{"rendered":"Mirai Malware-Variante V3G4 erm&ouml;glicht Fernzugriff auf IoT-Ger&auml;te &uuml;ber Schwachstellen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/02\/23\/mirai-malware-variante-v3g4-ermoglicht-fernzugriff-auf-iot-gerate-uber-schwachstellen\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Palo Alto Networks hat eine neue Variante der Mirai Malware entdeckt. Die Mirai-Variante V3G4 nutzt gleich mehrere Schwachstellen in der Firmware von IoT-Ger\u00e4ten aus, um einen Remote-Zugriff zu erm\u00f6glichen. Die Sicherheitsforscher von Palo Alto Networks Unit 42 beobachteten\u00a0 die Mirai-Variante namens V3G4 von Juli bis Dezember 2022. Sobald die anf\u00e4lligen Ger\u00e4te \u00fcber mehrere Schwachstellen kompromittiert sind, werden sie vollst\u00e4ndig von Angreifern kontrolliert und werden Teil des Botnets.<\/p>\n<p><!--more--><\/p>\n<p>Die Sicherheitsforscher teilten mir mit, dass der Angreifer die M\u00f6glichkeit habe, diese Ger\u00e4te f\u00fcr weitere Angriffe, z. B. f\u00fcr Distributed Denial-of-Service-Angriffe (DDoS), zu nutzen. Die von den Security-Forschern von Palo Alto Networks aufgezeichneten Exploit-Versuche nutzen die Schwachstellen zur Verbreitung von V3G4, das auf ungesch\u00fctzte Server und Netzwerkger\u00e4te unter Linux abzielt.<\/p>\n<h2>Variante des Mirai-Botnets<\/h2>\n<p>Aufgrund des Verhaltens und der Muster, die die Forscher von Unit 42 bei der Analyse der heruntergeladenen Botnet-Client-Samples beobachtet haben, glauben sie, dass es sich bei dem Botnet-Sample um eine Variante des Mirai-Botnets handelt. Die Forscher beobachteten bereits drei Kampagnen, die die Mirai-Variante V3G4 nutzen. Aufgrund ihrer Analyse geht Palo Alto Networks davon aus, dass die Kampagnen von ein und demselben Angreifer betrieben wurden, und zwar aus den folgenden Gr\u00fcnden:<\/p>\n<ul>\n<li>Die hartkodierten Command-and-Control-Domains (C2) dieser drei Kampagnen enthalten dieselbe Zeichenfolge (8xl9).<\/li>\n<li>Die Malware-Shell-Skript-Downloader sind bei allen drei Kampagnen nahezu identisch.<\/li>\n<li>Die Botnet-Client-Samples verwenden denselben XOR-Entschl\u00fcsselungsschl\u00fcssel.<\/li>\n<li>Die Botnet-Client-Samples verwenden dieselbe \u201eStop List\" (eine Liste von Zielprozessen, nach denen der Botnet-Client sucht und die er beendet).<\/li>\n<li>Die Botnet-Client-Samples verwenden nahezu identische Funktionen.<\/li>\n<\/ul>\n<p>Zu den ausgenutzten Schwachstellen geh\u00f6ren:<\/p>\n<ul>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-4869\" target=\"_blank\" rel=\"noopener\">CVE-2012-4869<\/a>: FreePBX Elastix \u2013 Schwachstelle zur Remote-Code-Ausf\u00fchrung\n<ul>\n<li><a href=\"https:\/\/www.exploit-db.com\/exploits\/18393\" target=\"_blank\" rel=\"noopener\">Gitorious<\/a>: Schwachstelle zur Remote-Code-Ausf\u00fchrung<\/li>\n<\/ul>\n<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-9727\" target=\"_blank\" rel=\"noopener\">CVE-2014-9727<\/a>: Schwachstelle zur Remote-Code-Ausf\u00fchrung in der FRITZ!Box-Webcam<\/li>\n<li><a href=\"https:\/\/www.exploit-db.com\/exploits\/15807\" target=\"_blank\" rel=\"noopener\">Mitel AWC<\/a>: Schwachstelle zur Remote-Code-Ausf\u00fchrung<\/li>\n<li><a href=\"http:\/\/x7p3z.mjt.lu\/lnk\/AV0AAAxipTQAAAAAAAAAAAILrhYAAAAAPuMAAAAAABcvfABj9xBK4YK5plwHQSSSUmKuQYBk2gAWxFU\/5\/33UyLAllDMkerujp6kNMXQ\/aHR0cHM6Ly9udmQubmlzdC5nb3YvdnVsbi9kZXRhaWwvQ1ZFLTIwMTctNTE3Mw\" target=\"_blank\" rel=\"noopener\">CVE-2017-5173<\/a>: Schwachstelle in der Remote-Code-Ausf\u00fchrung bei Geutebruck IP-Kameras<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2019-15107\" target=\"_blank\" rel=\"noopener\">CVE-2019-15107<\/a>: Webmin Command Injection-Schwachstelle<\/li>\n<li><a href=\"https:\/\/web.archive.org\/web\/20110726024546\/http:\/www.spreecommerce.com\/blog\/2011\/04\/19\/security-fixes\/\" target=\"_blank\" rel=\"noopener\">Spree Commerce<\/a>: Schwachstelle zur Ausf\u00fchrung beliebiger Befehle<\/li>\n<li><a href=\"http:\/\/x7p3z.mjt.lu\/lnk\/AV0AAAxipTQAAAAAAAAAAAILrhYAAAAAPuMAAAAAABcvfABj9xBK4YK5plwHQSSSUmKuQYBk2gAWxFU\/8\/va2D2-L7PiOISNs73q229Q\/aHR0cHM6Ly93d3cuZXhwbG9pdC1kYi5jb20vZXhwbG9pdHMvNDI3ODg\">FLIR-W\u00e4rmebildkameras<\/a>: Schwachstelle zur Remote-Code-Ausf\u00fchrung<\/li>\n<li><a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-8515\" target=\"_blank\" rel=\"noopener\">CVE-2020-8515<\/a>: Schwachstelle zur Remote-Befehlsausf\u00fchrung bei DrayTek Vigor<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-15415\" target=\"_blank\" rel=\"noopener\">CVE-2020-15415<\/a>: Schwachstelle zur Remote-Command-Injection bei DrayTek Vigor<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-15415\" target=\"_blank\" rel=\"noopener\">CVE-2022-36267<\/a>: Schwachstelle zur Remote-Befehlsausf\u00fchrung bei Airspan Airspot<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-26134\" target=\"_blank\" rel=\"noopener\">CVE-2022-26134<\/a>: Schwachstelle zur Remote-Code-Ausf\u00fchrung bei Atlassian Confluence<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-4257\" target=\"_blank\" rel=\"noopener\">CVE-2022-4257<\/a>: Command-Injection-Schwachstelle im C-Data Web-Management-System<\/li>\n<\/ul>\n<h2>Schlussfolgerung<\/h2>\n<p>Die erw\u00e4hnten Schwachstellen sind weniger komplex als die zuvor beobachteten Varianten, haben jedoch weiterhin kritische Sicherheitsauswirkungen, die zu Remote-Code-Ausf\u00fchrung f\u00fchren k\u00f6nnen. Sobald ein Angreifer auf diese Weise die Kontrolle \u00fcber ein anf\u00e4lliges Ger\u00e4t erlangt, k\u00f6nnte er die neu kompromittierten Ger\u00e4te in sein Botnet einbinden, um weitere Angriffe wie DDoS durchzuf\u00fchren. Es wird daher dringend empfohlen, Patches und Updates so schnell wie m\u00f6glich zu installieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Palo Alto Networks hat eine neue Variante der Mirai Malware entdeckt. Die Mirai-Variante V3G4 nutzt gleich mehrere Schwachstellen in der Firmware von IoT-Ger\u00e4ten aus, um einen Remote-Zugriff zu erm\u00f6glichen. Die Sicherheitsforscher von Palo Alto Networks Unit 42 beobachteten\u00a0 die Mirai-Variante &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/02\/23\/mirai-malware-variante-v3g4-ermglicht-fernzugriff-auf-iot-gerte-ber-schwachstellen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,7459],"tags":[3081,4493,4328,3836],"class_list":["post-278189","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-software","tag-geraete","tag-iot","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278189","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278189"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278189\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278189"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278189"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278189"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}