Çeşitli Nesnelerin İnterneti (IoT) cihazlarını etkileyen ve bunları dağıtılmış hizmet reddi (DDoS) saldırıları için kullanan bir botnet olan Zerobot, yeni özellikler ve yeni bulaşma mekanizmalarıyla güncellendi.
A bildiri (yeni sekmede açılır) Microsoft’un güvenlik ekibi, IoT cihazlarını botnet’e entegre etmek için kullanılan kötü amaçlı yazılımın 1.1 sürümüne ulaştığını iddia ediyor.
Bu yükseltmeyle, Zerobot artık çeşitli uç noktaları tehlikeye atmak ve daha sonra bunları saldırılarda kullanmak için Apache ve Apache Spark’ta bulunan kusurlardan yararlanabilir. Zerobot’u dağıtmak için kullanılan kusurlar, CVE-2021-42013 ve CVE-2022-33891 olarak izlenir.
Apache kusurlarını kötüye kullanma
CVE-2021-42013 aslında, Apache HTTP Sunucusu 2.4.50’de CVE-2021-41773’ü yamalamak için tasarlanmış önceki düzeltme için bir yükseltmedir.
cve.mitre.org sitesi, ikincisinin yetersiz olduğu için, tehdit aktörlerinin URL’leri Alias benzeri yönergeler tarafından yapılandırılan dizinlerin dışındaki dosyalara eşlemek için bir yol geçiş saldırısı kullanmasına izin verdiğini açıklıyor. “Bu dizinlerin dışındaki dosyalar, olağan varsayılan yapılandırma “tümünün reddedilmesini gerektir” tarafından korunmuyorsa, bu istekler başarılı olabilir. Bu diğer ad verilmiş yollar için CGI betikleri de etkinleştirilirse, bu, uzaktan kod yürütülmesine izin verebilir. Bu sorun yalnızca Apache 2.4.49 ve Apache 2.4.50’yi etkiler, önceki sürümleri etkilemez.”
CVE-2022-33891 ise Apache Spark UI’yi etkiler ve saldırganların rastgele bir kullanıcı adı sağlayarak kimliğe bürünme saldırıları gerçekleştirmesine ve nihayetinde saldırganların keyfi kabuk komutları çalıştırmasına izin verir. cve.mitre.org, bunun Apache Spark 3.0.3 ve önceki sürümleri, 3.1.1 – 3.1.2 sürümleri ve 3.2.0 – 3.2.1 sürümlerini etkilediğini açıkladı.
Microsoft, Zerobot’un yeni sürümünün ayrıca yeni DDoS saldırı yetenekleriyle birlikte geldiğini açıkladı. Bu yetenekler, tehdit aktörlerinin farklı kaynakları hedef almasına ve bunları erişilemez hale getirmesine olanak tanır. Rapora göre, neredeyse her saldırıda, hedef bağlantı noktası özelleştirilebilir ve kötü amaçlı yazılımı satın alan tehdit aktörlerinin saldırıyı uygun gördükleri şekilde değiştirmelerine olanak tanır.