據(jù)BleepingComputer消息，一個(gè)基于Mirai的新型僵尸網(wǎng)絡(luò)正在積極利用DigiEver網(wǎng)絡(luò)錄像機(jī)中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞尚未獲得編號(hào)，也暫無修復(fù)補(bǔ)丁。

Akamai 研究人員觀察到，該僵尸網(wǎng)絡(luò)于 11 月中旬開始利用該漏洞，但證據(jù)表明該活動(dòng)至少自 9 月以來就一直活躍。

除了 DigiEver 漏洞外，新的 Mirai 惡意軟件變體還分別利用CVE-2023-1389和 CVE-2018-17532 漏洞針對(duì)未打安全補(bǔ)丁的 TP-Link 和 Teltonika RUT9XX 路由器。

研究人員稱，被用來攻擊 DigiEver NVR 的遠(yuǎn)程代碼執(zhí)行 （RCE） 漏洞源自“/cgi-bin/cgi_main. cgi”URI，該URI 未正確驗(yàn)證用戶輸入，允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過某些參數(shù)（如 HTTP POST 請求中的 ntp 字段）注入 "curl "和 "chmod "等命令。

通過命令注入，攻擊者從外部服務(wù)器獲取惡意軟件二進(jìn)制文件，并將設(shè)備加入其僵尸網(wǎng)絡(luò)。 設(shè)備一旦被入侵，就會(huì)被用來進(jìn)行分布式拒絕服務(wù)（DDoS）攻擊，或利用漏洞集和憑證列表擴(kuò)散到其他設(shè)備。

Akamai表示，新Mirai變種的顯著特點(diǎn)是使用了XOR和ChaCha20加密技術(shù)，并以x86、ARM和MIPS等多種系統(tǒng)架構(gòu)為目標(biāo)，這不同于許多基于 Mirai 的僵尸網(wǎng)絡(luò)仍然依賴于原始的字符串混淆邏輯，這種邏輯來自于原始 Mirai 惡意軟件源代碼發(fā)布時(shí)包含的回收代碼。 雖然采用復(fù)雜的解密方法并不新穎，但這表明基于Mirai的僵尸網(wǎng)絡(luò)的戰(zhàn)術(shù)、技術(shù)和程序在不斷發(fā)展。

據(jù)悉，早在去年羅馬尼亞布加勒斯特舉行的 DefCamp 安全會(huì)議上，TXOne 研究員 Ta-Lun Yen就曾揭露過該漏洞，該問題當(dāng)時(shí)影響了多個(gè) DVR 設(shè)備。