FortiGuard Labs è a conoscenza di un rapporto secondo cui il codice sorgente del malware BotenaGo è stato recentemente reso disponibile su GitHub. BotenaGo è un malware scritto in Golang e secondo quanto riferito è in grado di sfruttare più di 30 vulnerabilità in vari dispositivi IoT come router, modem e dispositivi NAS e varia il carico utile fornito a seconda del dispositivo che è stato sfruttato con successo. Perché è significativo? è significativo perché il codice sorgente del malware BotenaGo è disponibile su un repository pubblicamente disponibile e con il report che BotenaGo è in grado di sfruttare più di 30 vulnerabilità, si prevede un aumento delle sue attività. Cos’è BotenaGo Malware? BotenaGo è un IoT (Internet fo Things) scritto in Golang e potrebbe diventare un nuovo arsenale utilizzato dagli aggressori Mirai. Secondo quanto riferito, il malware è in grado di sfruttare più di 30 vulnerabilità in vari dispositivi IoT (un elenco di tali vulnerabilità è contenuto nel blog Alien Labs collegato nell’Appendice ). Dopo che il dispositivo di destinazione è stato sfruttato con successo, il malware esegue comandi shell remoti che scaricano un carico utile che varia a seconda del dispositivo che è stato compromesso con successo. BotenaGo imposta anche una backdoor sulla macchina compromessa e attende i comandi remoti dell’attaccante sulle porte 19412 e 31412. Può anche impostare un listener sull’input utente dell’IO di sistema (terminale) e ottenere comandi remoti attraverso di esso. Quali vulnerabilità vengono sfruttate da BotenaGo ?Alcune delle vulnerabilità note sfruttate da BotenaGo sono le seguenti: CVE-2013-3307: Linksys X3000 1.0.03 build 001CVE-2013-5223: D-Link DSL-2760U Gateway (Rev. E1) CVE-2014-2321: ZTE modemsCVE -2015-2051: router D-Link CVE-2016-11021: router D-Link CVE-2016-1555: dispositivi Netgear CVE-2016-6277: dispositivi Netgear CVE-2017-18362: plug-in ConnectWise CVE-2017-18368: router Zyxel e dispositivi NAS CVE- 2017-6077: Dispositivi NetgearCVE-2017-6334: Dispositivi NetgearCVE-2018-10088: XiongMai uc-httpd 1.0.0CVE-2018-10561: Router domestici Dasan GPONCVE-2018-10562: Router domestici Dasan GPONCVE-2019-19824: Realtek SDK router basati CVE-2020-10173: router VR-3033CVE-2020-10987: prodotti TendaCVE-2020-8515: router VigorCVE-2020-8958: Guangzhou 1 GE ONUCVE -2020-9054: router Zyxel e dispositivi NASCVE-2020-9377: router D-Link Qual è lo stato della copertura?FortiGuard Labs fornisce la seguente copertura AV contro i campioni di malware BotenaGo disponibili:Linux/Botenago.A!trPossibleThreatFortiGuard Labs fornisce quanto segue Copertura IPS contro i tentativi di exploit effettuati da BotenaGo:ZTE.Router.Web_shell_cmd.Remote.Command.Execution (CVE-2014-2321)D-Link.Devices.HNAP.SOAPAction-Header.Command.Execution (CVE-2015-2051)Netgear .macAddress.Remote.Command.Execution (CVE-2016-1555)NETGEAR.WebServer.Module.Command.Injection (CVE-2016-6277)TrueOnline.ZyXEL.P660HN.V1.Unauthenticated.Command.Injection (CVE-2017-18368 )NETGEAR.ping_IPAddr.HTTP.Post.Command.Injection (CVE-2017-6077)NETGEAR.DGN.DnsLookUp.Remote.Command.Injection (CVE-2017-6334)XiongMai.uc-httpd.Buffer.Overflow (CVE-2018) -10088) Dasan.GPON.Remote.Code.Execution (CVE-2018-10561, Dasan.GPON.Remote.Code.Execution)Comtrend.VR-3033.Remote.Command.Injection (CVE-2020-10173)Tenda.AC15 .AC1900.Autenticato. Remote.Command.Injection (CVE-2020-10987)DrayTek.Vigor.Router.Web.Management.Page.Command.Injection (CVE-2020-8515)ZyXEL.NAS.Pre-authentication.OS.Command.Injection (CVE- 2020-9054) Tutti gli IOC di rete sono bloccati dal client WebFiltering. FortiGuard Labs sta attualmente esaminando una copertura aggiuntiva. Questo segnale di minaccia verrà aggiornato quando sarà disponibile una nuova protezione.
