La nueva variante de Mirai abusa de la vulnerabilidad de WebSVN

Una nueva variante de Mirai ha estado abusando de una vulnerabilidad de inyección de comandos rastreada como CVE-2021-32305. Este defecto existe en una aplicación web de código abierto, denominada WebSVN, que se utiliza para examinar el código fuente. Justo después de que la vulnerabilidad se hizo pública, los investigadores observaron que se explotaba en estado […]

Una nueva variante de Mirai ha estado abusando de una vulnerabilidad de inyección de comandos rastreada como CVE-2021-32305. Este defecto existe en una aplicación web de código abierto, denominada WebSVN, que se utiliza para examinar el código fuente.

Justo después de que la vulnerabilidad se hizo pública, los investigadores observaron que se explotaba en estado salvaje. Además, revelaron que el malware comparte parte de su código con Mirai y se estaba utilizando para lanzar ataques DDoS.

Se pueden utilizar ocho tipos de ataques contra diferentes objetivos (como el protocolo OVH o TCP). Al explotar la vulnerabilidad WebSVN, es posible que los piratas informáticos no obtengan algunos detalles del entorno de destino, como el sistema operativo y la arquitectura del procesador. Sin embargo, el script de shell utilizado en el paso posterior del ataque soluciona este problema.

Aunque WebSVN es una aplicación PHP que admite multiplataforma y se ejecuta en varios sistemas operativos, solo se utilizan binarios de Linux en los ataques actuales. El malware tiene binarios de Linux maliciosos para 12 arquitecturas diferentes.

En lugar de identificar cuál es el correcto para el entorno de destino, intenta una técnica de fuerza bruta para ejecutar los binarios.
Para limitar el tamaño de los archivos ejecutables, cada uno se comprime con una versión modificada de UPX. Además, el empaquetador se modifica y requiere más esfuerzo para examinarlo.

Además, el malware archiva la portabilidad conectando estáticamente todas sus dependencias y realizando llamadas al sistema dentro del código. Intenta conectarse a su servidor C2 en el puerto 666.

La explotación de la falla de WebSVN muestra que los atacantes se están enfocando actualmente en sistemas basados ​​en Linux.