Em 31 de outubro, uma PoC de vulnerabilidade de backdoor para um modem ZyXEL PK5001Z foi postada no banco de dados Exploit e a vulnerabilidade foi identificada como CVE-2016-10401 .

Verificou-se que o modem ZyXEL PK5001Z tinha uma conta de backdoor. Essa conta era admin / CentryL1nk (nome de usuário: admin; senha: centuryl1nk). Para alternar entre usuários normais para ter permissões de acesso de root através da sintaxe “su (Switch user)” Super account (senha: zyad5001 ).

No dia 22 deste mês, especialistas em segurança do Qihoo 360 Network Security Institute (Netlab) examinaram as informações publicadas usando o sistema ScanMon.

Monitoramento

Desenvolvido pela Netlab, o sistema ScanMon fornece monitoramento e análise de comportamento de varredura em tempo real e histórico em todo o mundo. O ScanMon detecta com precisão e eficiência o comportamento de digitalização, analisando uma grande variedade de dados baseados na web, incluindo transmissão na web, honeypots e muito mais.

Netlab observou que o tráfego de varredura nas portas 2323 e 23 do sistema ScanMon aumentou drasticamente a partir das 11:00 no dia 22. Atingindo o pico durante o dia em 23 de novembro de 2017. Após a investigação, Netlab tem motivos para acreditar que a varredura de uma nova variante do bizarro Mirai.

Entre eles, a maioria do endereço IP de varredura da Argentina. Em menos de um dia, cerca de 65.700 endereços IP foram monitorados. Após 60 horas, esse valor aumentou para 100.000, o que significa que o novo botnet Mirai é composto por pelo menos 100.000 dispositivos.

Especialistas em segurança disseram que os dispositivos estão à procura de dispositivos ZyXEL vulneráveis ​​- dispositivos ZyXEL que usam admin / CentryL1nk e admin / QwestM0dem como certificados Telnet padrão.

A boa notícia é que o Mirai bot não possui um mecanismo persistente, o que significa que o bot pode ser erradicado quando o dispositivo infectado reiniciar.