Eine Variante des Mirai-Botnetzes namens Beastmode wurde zwischen Februar und März 2022 dabei beobachtet, wie sie neu entdeckte Schwachstellen in TOTOLINK-Routern ausnutzte, um ungepatchte Geräte zu infizieren und ihre Reichweite potenziell zu vergrößern.
„Die Beastmode (auch bekannt als B3astmode) Mirai-basierte DDoS-Kampagne hat ihr Arsenal an Exploits aggressiv aktualisiert“, so Fortinets FortiGuard Labs Research Team. „Innerhalb eines Monats wurden fünf neue Exploits hinzugefügt, von denen drei auf verschiedene Modelle von TOTOLINK-Routern abzielen.
Die Liste der ausgenutzten Schwachstellen in TOTOLINK-Routern lautet wie folgt
CVE-2022-26210 (CVSS-Score: 9.8) – Eine Sicherheitslücke zur Befehlsinjektion, die zur Ausführung von beliebigem Code ausgenutzt werden kann
CVE-2022-26186 (CVSS score: 9.8) – Eine Sicherheitslücke durch Befehlsinjektion, die zur Ausführung von beliebigem Code ausgenutzt werden kann CVE-2022-26186 (CVSS score: 9.8) – Eine Sicherheitslücke durch Befehlsinjektion, die die TOTOLINK-Router N600R und A7100RU betrifft, und
CVE-2022-26186 (CVSS-Score: 9.8) – Eine Command-Injection-Schwachstelle, die TOTOLINK N600R- und A7100RU-Router betrifft, und CVE-2022-25075 bis CVE-2022-25084 (CVSS-Score: 9.8) – Eine Command-Injection-Schwachstelle, die mehrere TOTOLINK-Router betrifft und zur Codeausführung führt
Zu den weiteren Schwachstellen, auf die Beastmode abzielt, gehören Schwachstellen in der TP-Link Tapo C200 IP-Kamera (CVE-2021-4045, CVSS-Score: 9.8), in Huawei HG532-Routern (CVE-2017-17215, CVSS-Score: 8.8), in Videoüberwachungslösungen von NUUO und Netgear (CVE-2016-5674, CVSS-Score: 9.8) und in abgekündigten D-Link-Produkten (CVE-2021-45382, CVSS-Score: 9.8).
Um zu verhindern, dass betroffene Modelle über das Botnetz übernommen werden, wird den Nutzern dringend empfohlen, ihre Geräte auf die neueste Firmware zu aktualisieren.
„Auch wenn der ursprüngliche Mirai-Autor im Herbst 2018 verhaftet wurde, zeigt [die jüngste Kampagne], dass Bedrohungsakteure wie die Hintermänner der Beastmode-Kampagne weiterhin schnell neu veröffentlichten Exploit-Code einbauen, um ungepatchte Geräte mit der Mirai-Malware zu infizieren“, so die Forscher.