Juniper Networks memperingatkan bahwa produk Session Smart Router (SSR) dengan kata sandi default menjadi sasaran sebagai bagian dari kampanye jahat yang menyebarkan malware botnet Mirai.
Perusahaan mengatakan akan mengeluarkan peringatan tersebut setelah “beberapa pelanggan” melaporkan perilaku anomali pada platform Session Smart Network (SSN) mereka pada 11 Desember 2024.
“Sistem ini telah terinfeksi malware Mirai dan kemudian digunakan sebagai sumber serangan DDOS ke perangkat lain yang dapat diakses oleh jaringan mereka,” katanya. “Sistem yang terkena dampak semuanya menggunakan kata sandi default.”
Mirai, yang kode sumbernya bocor pada tahun 2016, telah melahirkan beberapa varian selama bertahun-tahun. Malware ini mampu memindai kerentanan yang diketahui serta kredensial default untuk menyusup ke perangkat dan memasukkannya ke dalam botnet untuk melakukan serangan penolakan layanan terdistribusi (DDoS).
Untuk memitigasi ancaman tersebut, organisasi disarankan untuk segera mengubah kata sandi mereka menjadi kata sandi yang kuat dan unik (jika belum), secara berkala mengaudit log akses untuk mencari tanda-tanda aktivitas mencurigakan, menggunakan firewall untuk memblokir akses tidak sah, dan selalu memperbarui perangkat lunak. tanggal.
Beberapa indikator yang terkait dengan serangan Mirai termasuk pemindaian port yang tidak biasa, upaya login SSH yang sering menunjukkan serangan brute force, peningkatan volume lalu lintas keluar ke alamat IP yang tidak terduga, reboot secara acak, dan koneksi dari alamat IP berbahaya yang diketahui.
“Jika suatu sistem ditemukan terinfeksi, satu-satunya cara pasti untuk menghentikan ancaman tersebut adalah dengan menata ulang sistem karena tidak dapat ditentukan secara pasti apa yang mungkin telah diubah atau diperoleh dari perangkat tersebut,” kata perusahaan tersebut.
Perkembangan ini terjadi ketika AhnLab Security Intelligence Center (ASEC) mengungkapkan bahwa server Linux yang dikelola dengan buruk, khususnya layanan SSH yang terekspos secara publik, menjadi sasaran keluarga malware DDoS yang sebelumnya tidak terdokumentasi dan dijuluki cShell.
“cShell dikembangkan dalam bahasa Go dan dicirikan dengan memanfaatkan alat Linux yang disebut screen dan hping3 untuk melakukan serangan DDoS,” kata ASEC.
