Aquabotv3: Μια νέα απειλή για τις συσκευές Mitel
Μια νέα παραλλαγή του botnet κακόβουλου λογισμικού Aquabot, το οποίο βασίζεται στο Mirai, εντοπίστηκε να εκμεταλλεύεται ενεργά την ευπάθεια CVE-2024-41710, μια ευπάθεια έγχυσης εντολών στα τηλέφωνα Mitel SIP.
Η δραστηριότητα αυτή ανακαλύφθηκε από την Ομάδα Ασφάλειας και Ανάλυσης Απειλών (SIRT) της Akamai, η οποία αναφέρει ότι αυτή είναι η τρίτη παραλλαγή του Aquabot που έχει εντοπίσει.
Το Aquabot εμφανίστηκε για πρώτη φορά το 2023, ενώ η δεύτερη έκδοσή του παρουσίασε μηχανισμούς διατήρησης της μόλυνσης. Τώρα, η τρίτη έκδοση, το Aquabotv3, έχει ενσωματώσει ένα νέο σύστημα που ανιχνεύει απόπειρες τερματισμού της λειτουργίας του και αποστέλλει τις πληροφορίες στον διακομιστή εντολών και ελέγχου (C2).
Σύμφωνα με την Akamai, αυτός ο μηχανισμός αναφοράς αποπειρών διακοπής είναι ασυνήθιστος για botnets και πιθανότατα έχει προστεθεί ώστε οι επιτιθέμενοι να έχουν καλύτερη παρακολούθηση της μόλυνσης.
Δείτε επίσεις: Το Νέο Ελάττωμα του UEFI Secure Boot
Στόχος τα Mitel SIP τηλέφωνα
Η ευπάθεια CVE-2024-41710 επηρεάζει τα τηλέφωνα Mitel 6800, 6900 και 6900w Series SIP, τα οποία χρησιμοποιούνται σε επιχειρήσεις, κυβερνητικούς οργανισμούς, νοσοκομεία, εκπαιδευτικά ιδρύματα, ξενοδοχεία και τράπεζες.
Πρόκειται για ευπάθεια μεσαίας σοβαρότητας, η οποία επιτρέπει σε έναν αυθεντικοποιημένο επιτιθέμενο με διαχειριστικά προνόμια να πραγματοποιήσει επίθεση έγχυσης παραμέτρων κατά τη διάρκεια της διαδικασίας εκκίνησης, εκτελώντας αυθαίρετες εντολές στο σύστημα.
Η Mitel δημοσίευσε διορθώσεις και προειδοποίηση ασφαλείας για την ευπάθεια στις 17 Ιουλίου 2024, προτρέποντας τους χρήστες να αναβαθμίσουν τις συσκευές τους. Δύο εβδομάδες αργότερα, ο ερευνητής ασφαλείας Kyle Burns δημοσίευσε ένα proof-of-concept (PoC) exploit στο GitHub.
Το Aquabotv3 είναι η πρώτη τεκμηριωμένη περίπτωση εκμετάλλευσης αυτής της ευπάθειας σε πραγματικές επιθέσεις.
Πώς εκμεταλλεύεται την ευπάθεια το Aquabotv3
Η Akamai SIRT εντόπισε απόπειρες εκμετάλλευσης της ευπάθειας μέσω του παγκόσμιου δικτύου honeypots της τον Ιανουάριο του 2025, χρησιμοποιώντας έναν κακόβουλο κώδικα σχεδόν πανομοιότυπο με το PoC.
Δεδομένου ότι η επίθεση απαιτεί αυθεντικοποίηση, το botnet χρησιμοποιεί brute-forcing για να αποκτήσει αρχική πρόσβαση.
Οι επιτιθέμενοι στέλνουν ένα HTTP POST request στο ευάλωτο endpoint 8021xsupport.html, το οποίο είναι υπεύθυνο για τις ρυθμίσεις ελέγχου ταυτότητας 802.1x στις συσκευές Mitel.
Η εφαρμογή δεν επεξεργάζεται σωστά την είσοδο του χρήστη, επιτρέποντας στους επιτιθέμενους να εισάγουν κακόβουλες τιμές στο τοπικό αρχείο ρυθμίσεων του τηλεφώνου (/nvdata/etc/local.cfg).
Εκτέλεση κακόβουλου κώδικα
Μέσω εισαγωγής χαρακτήρων τερματισμού γραμμής (%dt → %0d), οι επιτιθέμενοι παραποιούν την ανάλυση του αρχείου ρυθμίσεων κατά την εκκίνηση της συσκευής, επιτρέποντας την εκτέλεση ενός απομακρυσμένου shell script (bin.sh) από τον διακομιστή τους.
Το script αυτό:
✔️ Κατεβάζει και εγκαθιστά το κακόβουλο λογισμικό Aquabot για την αρχιτεκτονική του συστήματος (x86, ARM, MIPS κ.λπ.).
✔️ Ενεργοποιεί τα εκτελέσιμα δικαιώματα του κακόβουλου λογισμικού με chmod 777.
✔️ Διαγράφει τα ίχνη της επίθεσης.
Συμπεριφορά και εξάπλωση του Aquabotv3
Αφού διασφαλιστεί η παραμονή του στη συσκευή, το Aquabotv3 συνδέεται στον C2 server μέσω TCP, για να λάβει εντολές επίθεσης, ενημερώσεις ή πρόσθετα payloads.
Στη συνέχεια, προσπαθεί να εξαπλωθεί σε άλλες IoT συσκευές χρησιμοποιώντας:
- CVE-2018-17532 (TP-Link)
- CVE-2023-26801 (IoT firmware RCE)
- CVE-2022-31137 (Web App RCE)
- Linksys E-series RCE
- Hadoop YARN
- CVE-2018-10562 / CVE-2018-10561 (Dasan router bugs)
Επιπλέον, επιχειρεί να αποκτήσει πρόσβαση σε κακοσφαλισμένες συσκευές μέσω brute-forcing σε προεπιλεγμένα ή αδύναμα SSH/Telnet διαπιστευτήρια.
Στόχος: Επιθέσεις DDoS
Το Aquabotv3 στρατολογεί τις μολυσμένες συσκευές για κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS). Εκτελεί επιθέσεις TCP SYN, TCP ACK, UDP, GRE IP και application-layer.
Ο διαχειριστής του botnet διαφημίζει τις δυνατότητες DDoS του Aquabotv3 στο Telegram, χρησιμοποιώντας τα ονόματα Cursinq Firewall, The Eye Services και The Eye Botnet, παρουσιάζοντάς το ως εργαλείο δοκιμών για μέτρα προστασίας DDoS.
Δείτε επίσεις: DDoS Attacks: Πώς να Προστατευτείτε από Ψηφιακές Απειλές
Δείκτες Συμβιβασμού (IoCs) & Μέτρα Ανίχνευσης
Η Akamai παρέχει μια λίστα με IoCs, καθώς και κανόνες Snort και YARA για την ανίχνευση του Aquabotv3 στο τέλος της αναφοράς της.
Συμβουλή Ασφαλείας: Οι χρήστες των Mitel SIP τηλεφώνων θα πρέπει άμεσα να ενημερώσουν τις συσκευές τους στις πιο πρόσφατες εκδόσεις firmware για να προστατευτούν από πιθανές επιθέσεις.