O código de exploração conhecido como Satori, usado no malware Mirai, tem sido usado para atacar milhares de roteadores Huawei nas últimas semanas e os pesquisadores alertam que o código em breve se tornará uma mercadoria e passará pela botnet Como o Reaper ou o IOTrooper) desempenham um papel nos ataques DDoS.
Ankit Anubhav, pesquisador da NewSky Security, confirmou no código de lançamento público da Pastebin.com esta semana que um hacker chamado 'Nexus Zeta' usou a vulnerabilidade zero-day CVE-2017-17215 para espalhar Uma variante do malware de Mirai, chamado Satori, também conhecido como Mirai Okiru.
O código de ataque foi usado por dois grandes botnets IoT, Brickerbot e Satori, e o código agora está disponível publicamente e será integrado em botnets diferentes.
Este ataque foi atacado por dois botnets IoT diferentes, Satori e Brickerbot.
"O código que está sendo tornado público significa que mais hackers estão usando isso, e agora os ataques se tornaram commoditized e estão sendo adicionados ao seu arsenal por atacantes", disse Maya Horowitz, gerente da inteligência de ameaças do Check Point.
Na semana passada, o Check Point descobriu uma vulnerabilidade no roteador doméstico Huawei HG532 (CVE-2017-17215), que foi explorado pela Nexus Zeta para espalhar a variante Mirai Okiru / Satori da Mirai. Posteriormente, a Huawei divulgou uma notificação de segurança atualizada aos clientes Advertiu que a vulnerabilidade permite que atacantes remotos enviassem pacotes maliciosos para a porta 37215 e executem o código remoto no roteador vulnerável.
"Este código agora é conhecido por uma variedade de Black Hat, assim como as vulnerabilidades SOAP anteriormente lançadas ao público gratuitamente são usadas por hackers de todos os tipos", disse Anubhav, NewSky Security na quinta-feira, publicando um blog descrevendo isso Encontre uma situação de código de dia zero.
A causa raiz é um erro relacionado ao SOAP, que é um protocolo usado por muitos dispositivos IOT, segundo Anubhav. Os problemas anteriores com SOAP (CVE-2014-8361 e TR-064) afetaram diferentes fornecedores e foram amplamente variados por Mirai Use
No caso do CVE-2017-17215, este dia-zero aproveita os roteadores HUAWEI usando o protocolo Universal Plug and Play (UPnP) e os padrões de relatórios técnicos TR-064. O TR-064 é um padrão que pode ser facilmente incorporado Os dispositivos UPnP são adicionados à rede local.
Os pesquisadores escreveram: "Neste caso, a implementação TR-064 do dispositivo Huawei foi exposta à WAN via porta 37215 (UPnP). A estrutura UPnP é compatível com 'DeviceUpgrade' que realiza atualizações de firmware.
A vulnerabilidade permite que administradores remotos executem comandos arbitrários injetando metacaracteres de shell no processo DeviceUpgrade.
Os pesquisadores do Check Point escreveram: "Após executar essas operações, o ataque retorna a mensagem padrão HUAWEIUPNP e inicia uma" atualização ".
O objetivo principal da carga é instruir o robô a usar pacotes UDP ou TCP manuais para atacar.
Huawei disse que as medidas de mitigação incluem configurar o firewall embutido do roteador, mudar a senha padrão ou usar um firewall no site da operadora.
"Tenha em atenção que este roteador é principalmente usuários domésticos e geralmente não fazem logon nas interfaces do seu roteador e tenho que assumir que a maioria dos dispositivos não será defensiva". Horowitz disse. "Precisamos urgentemente dos dispositivos da Internet de coisas Os fabricantes tornam a segurança uma prioridade máxima, não para o usuário.
