Mirai 惡意軟件中使用的被稱為Satori的漏洞利用代碼，在過去幾周內被用來攻擊成千上萬的華為路由器。研究人員警告說，這些代碼將很快成為商品，并通過僵尸網絡（如 Reaper 或 IOTrooper ）在DDoS攻擊中發(fā)揮作用。

據雷鋒網了解，來自 NewSky Security 的研究人員 Ankit Anubhav 在本周一確定了 Pastebin.com 公開發(fā)布的代碼。該代碼是一個名為 “Nexus Zeta” 的黑客使用零日漏洞 CVE-2017-17215傳播了Mirai惡意軟件的一個變種，稱為Satori，也被稱為Mirai Okiru。

攻擊代碼已經被兩個主要的物聯(lián)網僵尸網絡，Brickerbot 和 Satori使用，現在代碼已經公開，它將被整合到不同的僵尸網絡中。

這種攻擊已經被兩種不同的物聯(lián)網僵尸網絡攻擊，即 Satori 和 Brickerbot 所武裝。

“代碼被公開意味著更多的黑客正在使用它，現在這種攻擊已經成為商品，正被攻擊者添加到他們的武器庫中，“Check Point 威脅情報組經理Maya Horowitz說。

上周，Check Point 在華為家庭路由器HG532中發(fā)現了一個漏洞（CVE-2017-17215），該漏洞被 Nexus Zeta利用，來傳播 Mirai 變種Mirai Okiru / Satori。此后，華為向客戶發(fā)布了更新的安全通知，警告該漏洞允許遠程攻擊者發(fā)送惡意數據包到端口37215，在易受攻擊的路由器上執(zhí)行遠程代碼。

“這個代碼現在已經被各種黑帽所知曉。就像之前免費向公眾發(fā)布的 SOAP 漏洞一樣，它將被各路黑客所使用，“Anubhav說。 NewSky Security周四發(fā)布了一個博客，概述了它發(fā)現零日代碼的情況。

根本原因是與 SOAP 有關的一個錯誤，這是許多物聯(lián)網設備使用的協(xié)議，Anubhav說。早期的SOAP（CVE-2014-8361和TR-064）問題影響到不同的供應商，并被Mirai變種廣泛使用。

在CVE-2017-17215的情況下，這個零日利用了華為路由器如何使用通用即插即用（UPnP）協(xié)議和 TR-064 技術報告標準。 TR-064是一個標準，可以很容易地將嵌入式 UPnP 設備添加到本地網絡。

研究人員寫道：“在這種情況下，華為設備的TR-064實施通過端口37215（UPnP）暴露于廣域網。 UPnP框架支持可以執(zhí)行固件升級操作的“DeviceUpgrade”。

該漏洞允許遠程管理員通過在 DeviceUpgrade 進程中注入 shell 元字符來執(zhí)行任意命令。

Check Point的研究人員寫道：“執(zhí)行這些操作之后，攻擊返回默認的HUAWEIUPNP消息，并啟動”升級“。

有效載荷的主要目的是指示機器人使用手動制作的 UDP 或 TCP 數據包來進行攻擊。

華為表示，針對攻擊的緩解措施包括配置路由器的內置防火墻，更改默認密碼或在運營商側使用防火墻。

“請注意，這個路由器的用戶主要是家庭用戶，他們通常不登錄他們的路由器的接口，我必須假設大多數設備是不會進行防御的?！被袈寰S茨說?！拔覀兤惹行枰锫?lián)網設備制造商把安全作為重中之重，而不是讓用戶負責?！?/p>

參考來源：threatpost

相關文章：巨大僵尸網絡 Satori 沖著中國某品牌路由器而來，作者身份被披露

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。