La vulnerabilidad se llama Mirai malware de Satori utilizando el código de explotación, se utilizan para atacar a miles de routers de Huawei en las últimas semanas. Los investigadores advirtieron que estos códigos se convertirán pronto en una mercancía, ya través de redes de bots ( como Reaper o IOTrooper) juegan un papel en los ataques DDoS.
De acuerdo con la red Lei Feng se entiende, los investigadores Ankit Anubhav de Seguridad NewSky esta semana para determinar un código Pastebin.com públicamente. El código se llama hackers 'Nexus Zeta' utilizar la vulnerabilidad de día cero CVE-2017 a 17.215 propagación Mirai una variedad de software malicioso, conocido como Satori, también conocido como Mirai Okiru.
código de ataque ha sido dos cosas principales botnets, Brickerbot y uso Satori, ya que el código ha sido revelada, que se integrará en una red de bots diferente.
Este tipo de ataques han sido dos cosas diferentes ataques de botnets cuestión, a saber, el Satori y Brickerbot armado.
'Código está abierto significa más hackers están utilizando, y ahora se ha convertido en un ataque de los productos básicos, se añade el atacante a su arsenal,' Check Point Maya Horowitz director del grupo de inteligencia contra amenazas.
La semana pasada, Check Point encontró que el router Huawei HG532 de una vulnerabilidad, la vulnerabilidad es explotada Nexus Zeta, (CVE-2017-17215) para difundir variante Mirai Mirai Okiru / Satori. Desde entonces, Huawei lanzó una actualización de seguridad para los clientes aviso , advirtiendo que podría permitir a un atacante remoto para enviar paquetes maliciosos a 37215 puerto, la ejecución remota de código en un router vulnerables.
'Este código ha sido conocido por una variedad de sombrero negro. Al igual que antes lanzado a la vulnerabilidad de SOAP libre público, que será utilizado por los piratas informáticos de diversas partes,' dice Anubhav. NewSky Seguridad emitió el jueves un blog, esbozó su descubrimos código de día cero.
La causa principal es un errores relacionados con SOAP, lo cual es el protocolo utilizado por muchos dispositivos cosas, dijo Anubhav cuestiones antes de SOAP (CVE-2014-8361 y TR-064) que afectan a diferentes proveedores, y es ampliamente variante Mirai utilizar.
En el caso de CVE-2017 a 17215, y el día cero del router Huawei cómo utilizar Universal Plug and Play (UPnP) de protocolo y el Informe Técnico TR-064 estándar. TR-064 es un estándar que puede ser fácilmente integrado dispositivo UPnP se añade a la red local.
Los investigadores escribieron: "En este caso, la implementación TR-064 del dispositivo Huawei fue expuesta a la WAN a través del puerto 37215 (UPnP). El marco UPnP admite 'DeviceUpgrade' que realiza actualizaciones de firmware.
La vulnerabilidad permite a los administradores remotos ejecutar comandos arbitrarios mediante la inyección de metacaracteres del shell en el proceso DeviceUpgrade.
Los investigadores en Check Point escribieron: 'Después de realizar estas operaciones, el ataque devuelve el mensaje predeterminado HUAWEIUPNP e inicia una' actualización '.
El objetivo principal de la carga útil es instruir al robot para que use paquetes UDP o TCP manuales para atacar.
Huawei dijo que las medidas de mitigación incluyen configurar el firewall integrado del enrutador, cambiar la contraseña predeterminada o usar un firewall en el sitio del operador.
"Tenga en cuenta que este enrutador es principalmente de usuarios domésticos y por lo general no inician sesión en las interfaces de su enrutador y tengo que suponer que la mayoría de los dispositivos no estarán a la defensiva". Horowitz dijo: "Necesitamos urgentemente dispositivos de Internet de las cosas" Los fabricantes hacen de la seguridad una prioridad máxima, no para el usuario.