Juniper Networks ha emesso un avviso importante riguardante i dispositivi Session Smart Router (SSR) che utilizzano password di default. Questi dispositivi sono stati recentemente presi di mira da una campagna malevola che diffonde il malware Mirai. Questo malware è noto per la sua capacità di sfruttare vulnerabilità note e credenziali di accesso predefinite per infettare dispositivi e utilizzarli come parte di una botnet per attacchi Distributed Denial-of-Service (DDoS).

L'allarme è stato lanciato dopo che "diversi clienti" hanno segnalato comportamenti anomali nei loro sistemi Session Smart Network (SSN) l'11 dicembre 2024. Le indagini hanno rivelato che i sistemi compromessi erano stati infettati dal malware Mirai e utilizzati per lanciare attacchi DDoS contro altri dispositivi accessibili tramite la loro rete. Tutti i sistemi colpiti utilizzavano password di default, sottolineando la necessità di modificare immediatamente le credenziali di accesso predefinite con password forti e uniche.

Misure di mitigazione

Per mitigare questi rischi, le organizzazioni sono consigliate di cambiare le password di default, controllare regolarmente i log di accesso per individuare attività sospette, utilizzare firewall per bloccare accessi non autorizzati e mantenere il software aggiornato. Alcuni segnali di possibili attacchi Mirai includono:

• Scansioni di porta insolite
• Tentativi frequenti di login SSH che indicano attacchi brute-force
• Aumento del volume del traffico in uscita verso indirizzi IP inattesi
• Riavvii casuali
• Connessioni da IP noti per attività malevola

Ulteriori sviluppi

Un ulteriore sviluppo della situazione è stato riportato dall'AhnLab Security Intelligence Center (ASEC), che ha identificato server Linux mal gestiti, in particolare quelli con servizi SSH pubblicamente esposti, come bersagli di un nuovo malware DDoS chiamato cShell. Questo malware, sviluppato in linguaggio Go, utilizza strumenti Linux come screen e hping3 per eseguire attacchi DDoS.

In un report del 19 dicembre 2024, Akamai ha rivelato che una vulnerabilità di esecuzione di codice remoto nei DVR DigiEver DS-2105 Pro viene sfruttata per distribuire una variante del botnet Mirai chiamata "Hail Cock". Questa vulnerabilità, combinata con password deboli, permette agli aggressori di installare malware sui dispositivi e lanciare attacchi brute-force su Telnet e SSH per espandere la botnet.

La campagna ha inoltre preso di mira altre vulnerabilità note, come CVE-2023-1389 nei router TP-Link e CVE-2018-17532 nei router Teltonika RUT9XX. Gli esperti di Akamai avvertono che i criminali informatici continuano a sfruttare il retaggio del malware Mirai per perpetuare campagne botnet e che uno dei metodi più semplici per compromettere nuovi host è mirare a firmware obsoleti o dispositivi ritirati.