0
| 本文作者: 郭佳 | 2018-01-01 08:07 |
Mirai 惡意軟件中使用的被稱為Satori的漏洞利用代碼,在過去幾周內(nèi)被用來攻擊成千上萬的華為路由器。研究人員警告說,這些代碼將很快成為商品,并通過僵尸網(wǎng)絡(如 Reaper 或 IOTrooper )在DDoS攻擊中發(fā)揮作用。
據(jù)雷鋒網(wǎng)了解,來自 NewSky Security 的研究人員 Ankit Anubhav 在本周一確定了 Pastebin.com 公開發(fā)布的代碼。該代碼是一個名為 “Nexus Zeta” 的黑客使用零日漏洞 CVE-2017-17215傳播了Mirai惡意軟件的一個變種,稱為Satori,也被稱為Mirai Okiru。
攻擊代碼已經(jīng)被兩個主要的物聯(lián)網(wǎng)僵尸網(wǎng)絡,Brickerbot 和 Satori使用,現(xiàn)在代碼已經(jīng)公開,它將被整合到不同的僵尸網(wǎng)絡中。
這種攻擊已經(jīng)被兩種不同的物聯(lián)網(wǎng)僵尸網(wǎng)絡攻擊,即 Satori 和 Brickerbot 所武裝。
“代碼被公開意味著更多的黑客正在使用它,現(xiàn)在這種攻擊已經(jīng)成為商品,正被攻擊者添加到他們的武器庫中,“Check Point 威脅情報組經(jīng)理Maya Horowitz說。
上周,Check Point 在華為家庭路由器HG532中發(fā)現(xiàn)了一個漏洞(CVE-2017-17215),該漏洞被 Nexus Zeta利用,來傳播 Mirai 變種Mirai Okiru / Satori。此后,華為向客戶發(fā)布了更新的安全通知,警告該漏洞允許遠程攻擊者發(fā)送惡意數(shù)據(jù)包到端口37215,在易受攻擊的路由器上執(zhí)行遠程代碼。
“這個代碼現(xiàn)在已經(jīng)被各種黑帽所知曉。就像之前免費向公眾發(fā)布的 SOAP 漏洞一樣,它將被各路黑客所使用,“Anubhav說。 NewSky Security周四發(fā)布了一個博客,概述了它發(fā)現(xiàn)零日代碼的情況。
根本原因是與 SOAP 有關的一個錯誤,這是許多物聯(lián)網(wǎng)設備使用的協(xié)議,Anubhav說。早期的SOAP(CVE-2014-8361和TR-064)問題影響到不同的供應商,并被Mirai變種廣泛使用。
在CVE-2017-17215的情況下,這個零日利用了華為路由器如何使用通用即插即用(UPnP)協(xié)議和 TR-064 技術報告標準。 TR-064是一個標準,可以很容易地將嵌入式 UPnP 設備添加到本地網(wǎng)絡。
研究人員寫道:“在這種情況下,華為設備的TR-064實施通過端口37215(UPnP)暴露于廣域網(wǎng)。 UPnP框架支持可以執(zhí)行固件升級操作的“DeviceUpgrade”。
該漏洞允許遠程管理員通過在 DeviceUpgrade 進程中注入 shell 元字符來執(zhí)行任意命令。
Check Point的研究人員寫道:“執(zhí)行這些操作之后,攻擊返回默認的HUAWEIUPNP消息,并啟動”升級“。
有效載荷的主要目的是指示機器人使用手動制作的 UDP 或 TCP 數(shù)據(jù)包來進行攻擊。
華為表示,針對攻擊的緩解措施包括配置路由器的內(nèi)置防火墻,更改默認密碼或在運營商側使用防火墻。
“請注意,這個路由器的用戶主要是家庭用戶,他們通常不登錄他們的路由器的接口,我必須假設大多數(shù)設備是不會進行防御的。”霍洛維茨說。“我們迫切需要物聯(lián)網(wǎng)設備制造商把安全作為重中之重,而不是讓用戶負責。”
參考來源:threatpost
相關文章:巨大僵尸網(wǎng)絡 Satori 沖著中國某品牌路由器而來,作者身份被披露
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權禁止轉載。詳情見轉載須知。
