익스플로잇 코드를 사용하여 SATORI의 미라이 악성 코드라고 취약점으로, 지난 몇 주에 화웨이 라우터의 수천을 공격하는 데 사용된다. 연구진은 이러한 코드가 곧 (상품이, 그리고 봇넷을 통해 것이라고 경고 Reaper 나 IOTrooper와 같은)는 DDoS 공격에서 역할을합니다.
레이 펭 네트워크에 따르면 공개적으로 코드 Pastebin.com을 결정하기 위해 이번 주 NewSky 보안에서, 연구자 ANKIT Anubhav 이해된다. 코드는 '넥서스 제타'해커 사용하는 제로 데이 취약점 CVE-2017-17215 확산라고 Sirai라고 불리는 Mirai 악성 코드의 변형이며 Mirai Okiru라고도합니다.
공격 코드는 두 개의 주요 IoT 봇넷 인 Brickerbot과 Satori에 의해 사용되었으며 코드는 이제 공개적으로 사용 가능하며 다른 봇넷에 통합 될 것입니다.
이러한 공격은 문제 봇넷 공격, 무장 즉 SATORI 및 Brickerbot이 다른 일을하고있다.
'코드가 열려 더 많은 해커가 그것을 사용하는 의미이며, 지금은 공격자가 자신의 무기고에 추가되고있는 상품 공격이되었다,'포인트 마야 호로비츠 위협 인텔리전스 그룹 관리자를 확인합니다.
지난 주, 포인트 취약점에 그 홈 라우터 화웨이 HG532을 발견 (CVE-2017-17215), 취약점은 넥서스 제타 이용된다 미라이 미라이 Okiru / SATORI가. 그 이후로, 화웨이는 고객에게 보안 업데이트를 출시 변형 통지 확산 확인 원격 공격자가 취약한 라우터에서 포트 37215, 원격 코드 실행에 악성 패킷을 보내도록 허용 할 수 있습니다 경고.
'이 코드는 이전에 무료로 공개 된 SOAP 취약점이 모든 종류의 해커에 의해 사용 된 것처럼 다양한 블랙 햇에 의해 알려졌다.'라고 목요일 NewSky Security의 Anubhav가 말했다. 제로 데이 코드 상황을 찾으십시오.
Anubhav는 SOAP의 초기 문제점 (CVE-2014-8361과 TR-064)은 여러 공급 업체에 영향을 미치고 Mirai 사용
CVE-2017-17215의 경우이 제로 데이는 UPnP (Universal Plug and Play) 프로토콜과 TR-064 기술보고 표준을 사용하는 HUAWEI 라우터를 이용합니다 .TR-064는 쉽게 임베드 될 수있는 표준입니다 UPnP 장치가 로컬 네트워크에 추가됩니다.
연구원은 다음과 같이 썼다 : "이 경우 화웨이 장치의 TR-064 구현은 포트 37215 (UPnP)를 통해 WAN에 노출되었다. UPnP 프레임 워크는 펌웨어 업그레이드를 수행하는 'DeviceUpgrade'를 지원한다.
이 취약점으로 인해 원격 관리자는 DeviceUpgrade 프로세스에서 쉘 메타 문자를 주입하여 임의의 명령을 실행할 수 있습니다.
Check Point의 연구원은 다음과 같이 기록했습니다. '이 작업을 수행 한 후 공격은 기본 HUAWEIUPNP 메시지를 반환하고'업그레이드 '를 시작합니다.
페이로드의 주된 목적은 공격을 위해 수동 UDP 또는 TCP 패킷을 사용하도록 로봇에게 지시하는 것입니다.
Huawei는 라우터의 기본 제공 방화벽 구성, 기본 암호 변경 또는 통신 사업자 사이트의 방화벽 사용과 같은 완화 조치를 취할 수 있다고 전했습니다.
'이 라우터는 주로 가정 사용자이며 라우터의 인터페이스에 일반적으로 로그인하지 않으므로 대부분의 장치가 방어가되지 않는다고 생각해야합니다.'라고 Horowitz는 말했습니다. 제조업체는 사용자가 아닌 안전을 최우선으로 생각합니다. '
