Le code d'exploitation connu sous le nom de Satori, utilisé dans les logiciels malveillants Mirai, a été utilisé pour attaquer des milliers de routeurs Huawei au cours des dernières semaines et les chercheurs avertissent que le code va bientôt devenir une marchandise et passer par le botnet Tels que Reaper ou IOTrooper) jouent un rôle dans les attaques DDoS.
Ankit Anubhav, un chercheur de NewSky Security, a confirmé sur le code de version publique de Pastebin.com cette semaine qu'un pirate nommé 'Nexus Zeta' utilisait la vulnérabilité zéro-jour CVE-2017-17215 pour se propager Une variante du logiciel malveillant de Mirai, appelé Satori, également connu sous le nom de Mirai Okiru.
Le code d'attaque a été utilisé par deux principaux botnets IoT, Brickerbot et Satori, et le code est maintenant disponible publiquement et sera intégré dans différents botnets.
De telles attaques ont été deux choses différentes attaques botnet matière, à savoir le Satori et Brickerbot armés.
« Le code est ouvert signifie plus les pirates utilisent, et maintenant cela est devenu une crise des produits de base, l'attaquant est ajouté à leur arsenal, » Check gestionnaire du groupe de renseignement point Maya Horowitz menace.
La semaine dernière, Check Point a révélé que routeur domestique Huawei HG532 dans une vulnérabilité (CVE-2017-17215), la vulnérabilité est exploitée Nexus Zeta, pour diffuser variante Mirai Mirai Okiru / Satori. Depuis lors, Huawei a publié une mise à jour de sécurité pour les clients remarquer , avertissement qui pourrait permettre à un attaquant d'envoyer des paquets malveillants au port 37215, l'exécution de code à distance sur un routeur vulnérable.
« Ce code a été connu maintenant par une variété de chapeau noir. Comme libéré avant la vulnérabilité SOAP gratuitement au public, il sera utilisé par les pirates de divers milieux, » Anubhav dit. NewSky sécurité a publié jeudi un blog, a présenté sa nous avons découvert zéro code jour.
La cause première est un bug lié à SOAP, qui est un protocole utilisé par de nombreux périphériques IoT, a déclaré Anubhav.Les problèmes antérieurs avec SOAP (CVE-2014-8361 et TR-064) ont affecté différents fournisseurs et ont été largement variés par Mirai utiliser.
Dans le cas de CVE-2017-17215 et le zéro jour exploiter routeur Huawei comment utiliser Universal Plug and Play (UPnP) protocole et le rapport technique standard. TR-064 TR-064 est une norme qui peut être facilement intégré périphérique UPnP est ajouté au réseau local.
Les chercheurs ont écrit: «Dans ce cas, l'implémentation TR-064 du périphérique Huawei a été exposée au WAN via le port 37215 (UPnP). Le framework UPnP prend en charge 'DeviceUpgrade' qui effectue les mises à jour du firmware.
La vulnérabilité permet à un administrateur distant en injectant caractères meta shell en cours DeviceUpgrade pour exécuter des commandes arbitraires.
Les chercheurs de Check Point ont écrit: «Après avoir effectué ces opérations, l'attaque renvoie le message HUAWEIUPNP par défaut et initie une« mise à niveau ».
L'objet principal de la charge utile est faite de charger manuellement le robot d'utiliser des paquets de données TCP ou UDP à l'attaque.
Huawei a déclaré que les mesures d'atténuation comprennent la configuration du pare-feu intégré du routeur, la modification du mot de passe par défaut ou l'utilisation d'un pare-feu sur le site du transporteur.
'S'il vous plaît soyez conscient que ce routeur est principalement des utilisateurs à domicile et qu'ils ne se connectent généralement pas aux interfaces de leur routeur et je dois supposer que la plupart des appareils ne seront pas défensifs.' Les fabricants font de la sécurité une priorité absolue, pas pour l'utilisateur.
