Mirai恶意软件中使用的被称为Satori的漏洞利用代码, 在过去几周内被用来攻击成千上万的华为路由器. 研究人员警告说, 这些代码将很快成为商品, 并通过僵尸网络 (如 Reaper 或 IOTrooper ) 在DDoS攻击中发挥作用.
据雷锋网了解, 来自 NewSky Security 的研究人员 Ankit Anubhav 在本周一确定了 Pastebin.com 公开发布的代码. 该代码是一个名为 'Nexus Zeta' 的黑客使用零日漏洞 CVE-2017-17215传播了Mirai恶意软件的一个变种, 称为Satori, 也被称为Mirai Okiru.
攻击代码已经被两个主要的物联网僵尸网络, Brickerbot 和 Satori使用, 现在代码已经公开, 它将被整合到不同的僵尸网络中.
这种攻击已经被两种不同的物联网僵尸网络攻击, 即 Satori 和 Brickerbot 所武装.
'代码被公开意味着更多的黑客正在使用它, 现在这种攻击已经成为商品, 正被攻击者添加到他们的武器库中, 'Check Point 威胁情报组经理Maya Horowitz说.
上周, Check Point 在华为家庭路由器HG532中发现了一个漏洞 (CVE-2017-17215) , 该漏洞被 Nexus Zeta利用, 来传播 Mirai 变种Mirai Okiru / Satori. 此后, 华为向客户发布了更新的安全通知, 警告该漏洞允许远程攻击者发送恶意数据包到端口37215, 在易受攻击的路由器上执行远程代码.
'这个代码现在已经被各种黑帽所知晓. 就像之前免费向公众发布的 SOAP 漏洞一样, 它将被各路黑客所使用, 'Anubhav说. NewSky Security周四发布了一个博客, 概述了它发现零日代码的情况.
根本原因是与 SOAP 有关的一个错误, 这是许多物联网设备使用的协议, Anubhav说. 早期的SOAP (CVE-2014-8361和TR-064) 问题影响到不同的供应商, 并被Mirai变种广泛使用.
在CVE-2017-17215的情况下, 这个零日利用了华为路由器如何使用通用即插即用 (UPnP) 协议和 TR-064 技术报告标准. TR-064是一个标准, 可以很容易地将嵌入式 UPnP 设备添加到本地网络.
研究人员写道: '在这种情况下, 华为设备的TR-064实施通过端口37215 (UPnP) 暴露于广域网. UPnP框架支持可以执行固件升级操作的 'DeviceUpgrade' .
该漏洞允许远程管理员通过在 DeviceUpgrade 进程中注入 shell 元字符来执行任意命令.
Check Point的研究人员写道: '执行这些操作之后, 攻击返回默认的HUAWEIUPNP消息, 并启动' 升级 '.
有效载荷的主要目的是指示机器人使用手动制作的 UDP 或 TCP 数据包来进行攻击.
华为表示, 针对攻击的缓解措施包括配置路由器的内置防火墙, 更改默认密码或在运营商侧使用防火墙.
'请注意, 这个路由器的用户主要是家庭用户, 他们通常不登录他们的路由器的接口, 我必须假设大多数设备是不会进行防御的. ' 霍洛维茨说. '我们迫切需要物联网设备制造商把安全作为重中之重, 而不是让用户负责. '
