E’ stata individuata un’evoluzione del famigerato worm “anti-IoT” Mirai che pensata ora per attaccare i sistemi Linux vulnerabili.
Non è una sorpresa che i codici malevoli – siano essi di virus, malware o exploit – più di successo finiscano presto o tardi per essere riutilizzati anche per altri ambiti e altre tipologie d’attacco da parte di malintenzionati con le opportune capacità tecniche per effettuare questo tipo di operazioni.
La nuova “vittima” di questo noto malware, come riporta Matthew Bing di Netscout, sono ora i server Linux con installata una versione vulnerabile di Apache Hadoop YARN. Il successo di questo tipo di aggressione è stato facilitato, oltre che dall’uso di un codice d’aggressione rodato e usato in passato per bersagliare dispositivi IoT e router di svariate marche, dal fatto che il codice bersaglio fosse tutto x86, senza differenze sostanziali tra un’installazione e l’altra a differenza del mondo più variegato ed eterogeneo dell’Internet of Things.
Per ora gli attacchi sono partiti da pochi aggressori, in grado di effettuare migliaia d’attacchi al giorno su scala ridotta, ma è da prendere in considerazione l’effetto valanga dato dall’aumentare di server infettati che, a loro volta, fungono da veicolo di nuovi attacchi e potenziali aggressioni a macchia d’olio.
Il payload del worm al momento consiste nel poter iniettare comandi direttamente alla shell di sistema, shell compromessa nello stesso modo con cui il Mirai originale prendeva il controllo di dispositivi IoT vulnerabili: attacchi di bruteforce via Telenet (su porte standard o casuali) provando le combinazioni standard di login/password. Difatti molti dei dispositivi vulnerabili avevano la grave falla data dall’avere degli account di amministrazione “embedded” nelle ROM di sistema, con login e password tutte uguali.
Una delle chiavi identificative di questi attacchi sono l’user agent utilizzato dal worm, con i tentativi di connessione portati tramite la libreria Python Requests.
Fonte: Securityinfo.it – NetScout
In generale, come sempre, in BeLabs consigliamo di tenere sempre d’occhio le liste di aggiornamenti e vulnerabilità per non rischiare di compromettere sistemi di importanza vitale per il proprio business e nel caso vi occorra una consulenza per aiutarvi in queste operazioni, vi aspettiamo presso la nostra sede oppure potete contattarci, vi risponderemo nel più breve tempo possibile.