【安全资讯】新型Aquabotv3僵尸网络恶意软件针对Mitel命令注入漏洞

概要：

新型Aquabotv3僵尸网络恶意软件正在积极利用Mitel SIP电话中的命令注入漏洞CVE-2024-41710。该漏洞允许经过身份验证的攻击者执行任意命令，可能对企业和金融机构造成严重影响。Akamai的安全情报与响应团队（SIRT）发现了这一活动，并指出这是Aquabot系列的第三个变种。

主要内容：

Aquabotv3是基于Mirai的僵尸网络恶意软件，首次引入于2023年。其第三个变种引入了一种检测终止信号的机制，并将信息发送回指挥控制（C2）服务器，这在僵尸网络中并不常见，可能是为了增强操作人员的监控能力。CVE-2024-41710是影响Mitel 6800、6900系列SIP电话的中等严重性漏洞，允许经过身份验证的攻击者通过参数未充分清理进行命令注入。

攻击者通过构造HTTP POST请求，针对Mitel电话的8021xsupport.html端点进行攻击，利用该应用程序错误处理用户输入的漏洞，将恶意数据插入本地配置文件。通过注入行结束字符，攻击者能够操控配置文件的解析方式，从而执行远程脚本，下载并安装Aquabot有效载荷。

一旦获得持久性，Aquabotv3会通过TCP连接到C2以接收指令和攻击命令，并尝试利用其他IoT设备的漏洞进行传播。该恶意软件的目标是将设备纳入其分布式拒绝服务（DDoS）攻击中，执行多种类型的网络攻击。Akamai已列出与Aquabotv3相关的入侵指标（IoC），并提供了检测该恶意软件的Snort和YARA规则。