Mirai 惡意軟件中使用的被稱為Satori的漏洞利用代碼，在過(guò)去幾周內(nèi)被用來(lái)攻擊成千上萬(wàn)的華為路由器。研究人員警告說(shuō)，這些代碼將很快成為商品，并通過(guò)僵尸網(wǎng)絡(luò)（如 Reaper 或 IOTrooper ）在DDoS攻擊中發(fā)揮作用。

據(jù)雷鋒網(wǎng)了解，來(lái)自 NewSky Security 的研究人員 Ankit Anubhav 在本周一確定了 Pastebin.com 公開(kāi)發(fā)布的代碼。該代碼是一個(gè)名為 “Nexus Zeta” 的黑客使用零日漏洞 CVE-2017-17215傳播了Mirai惡意軟件的一個(gè)變種，稱為Satori，也被稱為Mirai Okiru。

攻擊代碼已經(jīng)被兩個(gè)主要的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，Brickerbot 和 Satori使用，現(xiàn)在代碼已經(jīng)公開(kāi)，它將被整合到不同的僵尸網(wǎng)絡(luò)中。

這種攻擊已經(jīng)被兩種不同的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊，即 Satori 和 Brickerbot 所武裝。

“代碼被公開(kāi)意味著更多的黑客正在使用它，現(xiàn)在這種攻擊已經(jīng)成為商品，正被攻擊者添加到他們的武器庫(kù)中，“Check Point 威脅情報(bào)組經(jīng)理Maya Horowitz說(shuō)。

上周，Check Point 在華為家庭路由器HG532中發(fā)現(xiàn)了一個(gè)漏洞（CVE-2017-17215），該漏洞被 Nexus Zeta利用，來(lái)傳播 Mirai 變種Mirai Okiru / Satori。此后，華為向客戶發(fā)布了更新的安全通知，警告該漏洞允許遠(yuǎn)程攻擊者發(fā)送惡意數(shù)據(jù)包到端口37215，在易受攻擊的路由器上執(zhí)行遠(yuǎn)程代碼。

“這個(gè)代碼現(xiàn)在已經(jīng)被各種黑帽所知曉。就像之前免費(fèi)向公眾發(fā)布的 SOAP 漏洞一樣，它將被各路黑客所使用，“Anubhav說(shuō)。 NewSky Security周四發(fā)布了一個(gè)博客，概述了它發(fā)現(xiàn)零日代碼的情況。

根本原因是與 SOAP 有關(guān)的一個(gè)錯(cuò)誤，這是許多物聯(lián)網(wǎng)設(shè)備使用的協(xié)議，Anubhav說(shuō)。早期的SOAP（CVE-2014-8361和TR-064）問(wèn)題影響到不同的供應(yīng)商，并被Mirai變種廣泛使用。

在CVE-2017-17215的情況下，這個(gè)零日利用了華為路由器如何使用通用即插即用（UPnP）協(xié)議和 TR-064 技術(shù)報(bào)告標(biāo)準(zhǔn)。 TR-064是一個(gè)標(biāo)準(zhǔn)，可以很容易地將嵌入式 UPnP 設(shè)備添加到本地網(wǎng)絡(luò)。

研究人員寫(xiě)道：“在這種情況下，華為設(shè)備的TR-064實(shí)施通過(guò)端口37215（UPnP）暴露于廣域網(wǎng)。 UPnP框架支持可以執(zhí)行固件升級(jí)操作的“DeviceUpgrade”。

該漏洞允許遠(yuǎn)程管理員通過(guò)在 DeviceUpgrade 進(jìn)程中注入 shell 元字符來(lái)執(zhí)行任意命令。

Check Point的研究人員寫(xiě)道：“執(zhí)行這些操作之后，攻擊返回默認(rèn)的HUAWEIUPNP消息，并啟動(dòng)”升級(jí)“。

有效載荷的主要目的是指示機(jī)器人使用手動(dòng)制作的 UDP 或 TCP 數(shù)據(jù)包來(lái)進(jìn)行攻擊。

華為表示，針對(duì)攻擊的緩解措施包括配置路由器的內(nèi)置防火墻，更改默認(rèn)密碼或在運(yùn)營(yíng)商側(cè)使用防火墻。

“請(qǐng)注意，這個(gè)路由器的用戶主要是家庭用戶，他們通常不登錄他們的路由器的接口，我必須假設(shè)大多數(shù)設(shè)備是不會(huì)進(jìn)行防御的?！被袈寰S茨說(shuō)。“我們迫切需要物聯(lián)網(wǎng)設(shè)備制造商把安全作為重中之重，而不是讓用戶負(fù)責(zé)?！?/p>

參考來(lái)源：threatpost

相關(guān)文章：巨大僵尸網(wǎng)絡(luò) Satori 沖著中國(guó)某品牌路由器而來(lái)，作者身份被披露

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。