ນັກວິໄຈຈາກ Akamai ພົບບອດເນັດໃໝ່ທີ່ພັດທະນາມາຈາກ Mirai ກຳລັງໂຈມຕີຊ່ອງໂຫວ່ Remote Code Execution ເທິງອຸປະກອນບັນທຶກວິດີໂອ DigiEver ແລະ ເລົາເຕີຫຼາຍຮຸ່ນ.
ນັກວິໄຈດ້ານຄວາມປອດໄພຈາກ Akamai ລາຍງານການພົບບອດເນັດຕົວໃໝ່ ທີ່ພັດທະນາຕໍ່ຈາກ Mirai ຊຶ່ງກຳລັງໂຈມຕີຊ່ອງໂຫວ່ Remote Code Execution ເທິງອຸປະກອນບັນທຶກວິດີໂອ DigiEver DS-2105 Pro NVR ໂດຍຊ່ອງໂຫວ່ນີ້ ຍັງບໍ່ໄດ້ຮັບໝາຍເລກ CVE ແລະ ບັງບໍ່ມີການແກ້ໄຂ, ການໂຈມຕີເລີ່ມຕົ້ນຕັ້ງແຕ່ເດືອນ ຕຸລາ ທີ່ຜ່ານມາ ໂດຍມຸ້ງເປົ້າໄປທີ່ອຸປະກອນບັນທຶກວິດີໂອຫຼາຍຮຸ່ນ ແລະ ເລົາເຕີ TP-Link ທີ່ໃຊ້ເຟິມແວຮຸ່ນເກົ່າ.
ບອດເນັດນີ້ໂຈມຕີຜ່ານຊ່ອງໂຫວ່ ທີ່ຢູ່ໃນ ‘/cgi-bin/cgi_main.cgi’ ຊຶ່ງບໍ່ມີການກວດສອບຂໍ້ມູນ Input ຢ່າງເໝາະສົມ ເຮັດໃຫ້ຜູ້ໂຈມຕີ ສາມາດແຊກຄຳສັ່ງ ‘curl’ ແລະ ‘chmod’ ຜ່ານຕົວປ່ຽນບາງຕົວ ເຊັ່ນ: ntp field ໃນ HTTP POST ເມື່ອໂຈມຕີສຳເລັດ ອຸປະກອນຈະດຶງມັນແວຈາກເຊິບເວີພາຍນອກ ແລະ ຖືກເພີ່ມເຂົ້າສູ່ເຄືອຂ່າຍບອດເນັດ ໂດຍໃຊ້ cron jobs ເພື່ອໃຫ້ມັນແວຢູ່ໃນລະບົບ.
ນອກຈາກຊ່ອງໂຫວ່ເທິງ DigiEver ແລ້ວ ບອດເນັດນີ້ ຍັງໂຈມຕີຊ່ອງໂຫວ່ CVE-2023-1389 ເທິງອຸປະກອນ TP-Link ແລະ CVE-2018-17532 ເທິງເລົາເຕີ Teltonika RUT9XX ອີກດ້ວຍ. Akamai ລະບຸວ່າ ບອດເນັດຕົວນີ້ ມີຄວາມໜ້າສົນໃຈ ທີ່ໃຊ້ການເຂົ້າລະຫັດແບບ XOR ແລະ ChaCha20 ລວມເຖິງຮອງຮັບສະຖາປັດຕິຍະກຳລະບົບທີ່ຫຼາກຫຼາຍ ທັງ x86, ARM ແລະ MIPS ນັກວິໄຈໄດ້ເຜີຍແຜ່ IoC ແລະ Yara Rules ສຳລັບກວດຈັບ ແລະ ປ້ອງກັນໄພຄຸກຄາມນີ້ໄວ້ໃນລາຍງານສະບັບເຕັມ ທີ່ລິ້ງ: https://www.akamai.com/blog/security-research/digiever-fix-that-iot-thing
ທີ່ມາ : https://www.bleepingcomputer.com/news/security/new-botnet-exploits-vulnerabilities-in-nvrs-tp-link-routers/
