Een variant van het Mirai-botnet genaamd Beest modus Er is waargenomen dat tussen februari en maart 2022 nieuw onthulde kwetsbaarheden in TOTOLINK-routers zijn toegepast om niet-gepatchte apparaten te infecteren en het bereik ervan mogelijk uit te breiden.
“De Beastmode (ook bekend als B3astmode) Mirai-gebaseerde DDoS-campagne heeft zijn arsenaal aan exploits agressief bijgewerkt”, Fortinet’s FortiGuard Labs Research-team zei. “Binnen een maand zijn er vijf nieuwe exploits toegevoegd, waarvan drie gericht op verschillende modellen TOTOLINK-routers.”
De lijst met misbruikte kwetsbaarheden in TOTOLINK-routers is als volgt:
- CVE-2022-26210 (CVSS-score: 9,8) – Een kwetsbaarheid voor opdrachtinjectie die kan worden misbruikt om willekeurige code-uitvoering te verkrijgen
- CVE-2022-26186 (CVSS-score: 9,8) – Een kwetsbaarheid voor opdrachtinjectie die van invloed is op TOTOLINK N600R- en A7100RU-routers, en
- CVE-2022-25075 tot CVE-2022-25084 (CVSS-scores: 9,8) – Een kwetsbaarheid voor opdrachtinjectie die invloed heeft op meerdere TOTOLINK-routers, wat leidt tot uitvoering van code
De andere exploits waarop Beastmode zich richt, zijn onder meer fouten in de TP-Link Tapo C200 IP-camera (CVE-2021-4045CVSS-score: 9,8), Huawei HG532-routers (CVE-2017-17215CVSS-score: 8,8), videobewakingsoplossingen van NUUO en Netgear (CVE-2016-5674CVSS-score: 9,8) en stopgezette D-Link-producten (CVE-2021-45382CVSS-score: 9,8).
Om te voorkomen dat de getroffen modellen het botnet overnemen, wordt gebruikers ten zeerste aangeraden hun apparaten bij te werken naar de nieuwste firmware.
“Hoewel de oorspronkelijke Mirai-auteur in de herfst van 2018 werd gearresteerd, [the latest campaign] benadrukt hoe bedreigingsactoren, zoals die achter de Beastmode-campagne, snel nieuw gepubliceerde exploitcode blijven opnemen om ongepatchte apparaten te infecteren met behulp van de Mirai-malware”, aldus de onderzoekers.
