Код эксплойта, известный как Satori, используемый в вредоносной программе Mirai, использовался для атаки тысяч маршрутизаторов Huawei за последние несколько недель, и исследователи предупреждают, что код скоро станет товаром и пройдет через бот-сеть Такие, как Reaper или IOTrooper) играют роль в атаках DDoS.
Ankit Anubhav, исследователь из NewSky Security, подтвердил на официальном выпуске Pastebin.com на этой неделе, что хакер под названием «Nexus Zeta» использовал уязвимость CVE-2017-17215 с нулевым днем для распространения Вариант вредоносного ПО Mirai, называемый Satori, также известный как Mirai Okiru.
Код атаки использовался двумя основными бот-сетями IoT, Brickerbot и Satori, и этот код теперь общедоступен и будет интегрирован в разные бот-сети.
Эта атака была атакована двумя различными бот-сетями IoT, Satori и Brickerbot.
«Кодекс, который публикуется, означает, что больше его используют хакеры, и теперь атаки стали предметом компромиссов и добавляются к их арсеналу атакующими», - сказала Майя Горовиц, менеджер разведки Check Point.
На прошлой неделе Check Point обнаружила уязвимость в домашнем маршрутизаторе Huawei HG532 (CVE-2017-17215), который был использован Nexus Zeta для распространения варианта Mirai Okiru / Satori Mirai. Впоследствии Huawei выпустила обновленное уведомление о безопасности для клиентов , Предупреждал, что уязвимость позволяет удаленным злоумышленникам отправлять вредоносные пакеты на порт 37215 и выполнять удаленный код на уязвимом маршрутизаторе.
«Этот код теперь известен множеству Black Hat, так же как уязвимости SOAP, ранее выпущенные публике бесплатно, используются хакерами всех видов», - сказал Anubhav, NewSky Security в четверг, опубликовав блог, в котором он изложит Найдите ситуацию с кодом нулевого дня.
Основной причиной является ошибка, связанная с SOAP, которая является протоколом, используемым многими устройствами IoT, сказал Анубхав. Более ранние проблемы с SOAP (CVE-2014-8361 и TR-064) затронули разных поставщиков и были широко изменены Mirai использовать.
В случае CVE-2017-17215 этот нулевой день использует преимущества маршрутизаторов HUAWEI с использованием протокола Universal Plug and Play (UPnP) и технических стандартов TR-064. TR-064 - это стандарт, который может быть легко встроен UPnP-устройства добавляются в локальную сеть.
Исследователи писали: «В этом случае реализация устройства Huawei TR-064 была подвержена глобальной сети через порт 37215 (UPnP). Структура UPnP поддерживает« DeviceUpgrade », которая выполняет обновление прошивки.
Уязвимость позволяет удаленным администраторам выполнять произвольные команды, вставляя метасимволы оболочки в процесс DeviceUpgrade.
Исследователи из Check Point писали: «После выполнения этих операций атака возвращает сообщение HUAWEIUPNP по умолчанию и инициирует« обновление ».
Основная цель полезной нагрузки - поручить роботу использовать ручные UDP или TCP-пакеты для атаки.
Huawei заявила, что меры по смягчению включают настройку встроенного брандмауэра маршрутизатора, изменение пароля по умолчанию или использование брандмауэра на сайте оператора.
«Имейте в виду, что этот маршрутизатор является главным образом домашними пользователями, и они обычно не входят в интерфейс своего маршрутизатора, и я должен предположить, что большинство устройств не будут защищаться», - сказал Горовиц. «Нам срочно нужны интернет-устройства Things Производители делают безопасность приоритетом, а не пользователем ».