Mirai惡意軟體中使用的被稱為Satori的漏洞利用代碼, 在過去幾周內被用來攻擊成千上萬的華為路由器. 研究人員警告說, 這些代碼將很快成為商品, 並通過殭屍網路 (如 Reaper 或 IOTrooper ) 在DDoS攻擊中發揮作用.
據雷鋒網了解, 來自 NewSky Security 的研究人員 Ankit Anubhav 在本周一確定了 Pastebin.com 公開發布的代碼. 該代碼是一個名為 'Nexus Zeta' 的黑客使用零日漏洞 CVE-2017-17215傳播了Mirai惡意軟體的一個變種, 稱為Satori, 也被稱為Mirai Okiru.
攻擊代碼已經被兩個主要的物聯網殭屍網路, Brickerbot 和 Satori使用, 現在代碼已經公開, 它將被整合到不同的殭屍網路中.
這種攻擊已經被兩種不同的物聯網殭屍網路攻擊, 即 Satori 和 Brickerbot 所武裝.
'代碼被公開意味著更多的黑客正在使用它, 現在這種攻擊已經成為商品, 正被攻擊者添加到他們的武器庫中, 'Check Point 威脅情報組經理Maya Horowitz說.
上周, Check Point 在華為家庭路由器HG532中發現了一個漏洞 (CVE-2017-17215) , 該漏洞被 Nexus Zeta利用, 來傳播 Mirai 變種Mirai Okiru / Satori. 此後, 華為向客戶發布了更新的安全通知, 警告該漏洞允許遠程攻擊者發送惡意數據包到通信埠37215, 在易受攻擊的路由器上執行遠程代碼.
'這個代碼現在已經被各種黑帽所知曉. 就像之前免費向公眾發布的 SOAP 漏洞一樣, 它將被各路黑客所使用, 'Anubhav說. NewSky Security周四發布了一個博客, 概述了它發現零日代碼的情況.
根本原因是與 SOAP 有關的一個錯誤, 這是許多物聯網設備使用的協議, Anubhav說. 早期的SOAP (CVE-2014-8361和TR-064) 問題影響到不同的供應商, 並被Mirai變種廣泛使用.
在CVE-2017-17215的情況下, 這個零日利用了華為路由器如何使用通用即插即用 (UPnP) 協議和 TR-064 技術報告標準. TR-064是一個標準, 可以很容易地將嵌入式 UPnP 設備添加到本地網路.
研究人員寫道: '在這種情況下, 華為設備的TR-064實施通過通信埠37215 (UPnP) 暴露於廣域網. UPnP框架支援可以執行韌體升級操作的 'DeviceUpgrade' .
該漏洞允許遠程管理員通過在 DeviceUpgrade 進程中注入 shell 元字元來執行任意命令.
Check Point的研究人員寫道: '執行這些操作之後, 攻擊返回預設的HUAWEIUPNP消息, 並啟動' 升級 '.
有效載荷的主要目的是指示機器人使用手動製作的 UDP 或 TCP 數據包來進行攻擊.
華為表示, 針對攻擊的緩解措施包括配置路由器的內置防火牆, 更改預設密碼或在運營商側使用防火牆.
'請注意, 這個路由器的用戶主要是家庭用戶, 他們通常不登錄他們的路由器的介面, 我必須假設大多數設備是不會進行防禦的. ' 霍洛維茨說. '我們迫切需要物聯網設備製造商把安全作為重中之重, 而不是讓用戶負責. '
