Mirai恶意软件中使用的被称为Satori的漏洞利用代码,在过去几周内被用来攻击成千上万的华为路由器。研究人员警告说,这些代码将很快成为商品,并通过僵尸网络(如Reaper或IOTrooper)在DDoS攻击中发挥作用。
据雷锋网了解,来自New SkySecurity的研究人员Ankit Anubhav在本周一确定了Pastebin.com公开发布的代码。该代码是一个名为“Nexus Zeta”的黑客使用零日漏洞CVE-2017-17215传播了Mirai恶意软件的一个变种,称为Satori,也被称为Mirai Okiru。
攻击代码已经被两个主要的物联网僵尸网络,Brickerbot和Satori使用,现在代码已经公开,它将被整合到不同的僵尸网络中。
这种攻击已经被两种不同的物联网僵尸网络攻击,即Satori和Brickerbot所武装。
“代码被公开意味着更多的黑客正在使用它,现在这种攻击已经成为商品,正被攻击者添加到他们的武器库中,“Check Point威胁情报组经理Maya Horowitz说。
上周,Check Point在华为家庭路由器HG532中发现了一个漏洞(CVE-2017-17215),该漏洞被Nexus Zeta利用,来传播Mirai变种Mirai Okiru/Satori。此后,华为向客户发布了更新的安全通知,警告该漏洞允许远程攻击者发送恶意数据包到端口37215,在易受攻击的路由器上执行远程代码。
“这个代码现在已经被各种黑帽所知晓。就像之前免费向公众发布的SOAP漏洞一样,它将被各路黑客所使用,“Anubhav说。New SkySecurity周四发布了一个博客,概述了它发现零日代码的情况。
根本原因是与SOAP有关的一个错误,这是许多物联网设备使用的协议,Anubhav说。早期的SOAP(CVE-2014-8361和TR-064)问题影响到不同的供应商,并被Mirai变种广泛使用。
在CVE-2017-17215的情况下,这个零日利用了华为路由器如何使用通用即插即用(UPnP)协议和TR-064技术报告标准。TR-064是一个标准,可以很容易地将嵌入式UPnP设备添加到本地网络。
研究人员写道:“在这种情况下,华为设备的TR-064实施通过端口37215(UPnP)暴露于广域网。UPnP框架支持可以执行固件升级操作的“DeviceUpgrade”。
该漏洞允许远程管理员通过在DeviceUpgrade进程中注入shell元字符来执行任意命令。
Check Point的研究人员写道:“执行这些操作之后,攻击返回默认的HUAWEIUPNP消息,并启动”升级“。
有效载荷的主要目的是指示机器人使用手动制作的UDP或TCP数据包来进行攻击。
华为表示,针对攻击的缓解措施包括配置路由器的内置防火墙,更改默认密码或在运营商侧使用防火墙。
“请注意,这个路由器的用户主要是家庭用户,他们通常不登录他们的路由器的接口,我必须假设大多数设备是不会进行防御的。”霍洛维茨说。“我们迫切需要物联网设备制造商把安全作为重中之重,而不是让用户负责。”
参考来源:threatpost
