Onderzoekers hebben een beveiligingslek in de code van de Mirai-malware ontdekt waardoor het mogelijk is om besmette machines die ddos-aanvallen uitvoeren te stoppen. Mirai is malware die allerlei Internet of Things-apparaten via standaard wachtwoorden kan infecteren, zoals digitale videorecorders.

Eenmaal besmet worden de apparaten onderdeel van een botnet. De botnetbeheerder kan de besmette apparaten vervolgens inzetten voor het aanvallen van websites en internetdiensten. De code die wordt gebruikt voor het uitvoeren zogeheten http-flood-aanvallen bevat echter een kwetsbaarheid. Een aangevallen website kan hierdoor in theorie zelf een aanval op het besmette apparaat uitvoeren zodat die crasht en stopt met aanvallen.

"Deze eenvoudige "exploit' is een voorbeeld van een actieve verdediging tegen een IoT-botnet die ddos-beschermingsdiensten kunnen gebruiken om zich in real-time tegen een Mirai-gebaseerde http-flood-aanval te beschermen", zegt onderzoeker Scott Tenaglia van Invincea Labs. "Hoewel het niet kan worden gebruikt om de bot van het IoT-apparaat te verwijderen, kan het wel worden gebruikt om de aanval vanaf een bepaald apparaat te stoppen."

Tenaglia merkt echter op dat deze aanval alleen bij http-flood-aanvallen werkt. De Mirai-botnets die er afgelopen vrijdag voor zorgden dat een aantal grote websites niet of slecht bereikbaar waren maakten hierbij gebruik van een dns-gebaseerde aanval. De onderzoeker stelt echter dat er meer kwetsbaarheden in de code aanwezig zijn die kunnen helpen bij het afslaan van andere ddos-aanvallen die de bots kunnen uitvoeren.