Mirai惡意軟件中使用的被稱(chēng)為Satori的漏洞利用代碼，在過(guò)去幾周內(nèi)被用來(lái)攻擊成千上萬(wàn)的華為路由器。研究人員警告說(shuō)，這些代碼將很快成為商品，并通過(guò)僵尸網(wǎng)絡(luò)（如Reaper或IOTrooper）在DDoS攻擊中發(fā)揮作用。

據(jù)雷鋒網(wǎng)了解，來(lái)自New SkySecurity的研究人員Ankit Anubhav在本周一確定了Pastebin.com公開(kāi)發(fā)布的代碼。該代碼是一個(gè)名為“Nexus Zeta”的黑客使用零日漏洞CVE-2017-17215傳播了Mirai惡意軟件的一個(gè)變種，稱(chēng)為Satori，也被稱(chēng)為Mirai Okiru。

攻擊代碼已經(jīng)被兩個(gè)主要的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，Brickerbot和Satori使用，現(xiàn)在代碼已經(jīng)公開(kāi)，它將被整合到不同的僵尸網(wǎng)絡(luò)中。

這種攻擊已經(jīng)被兩種不同的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊，即Satori和Brickerbot所武裝。

“代碼被公開(kāi)意味著更多的黑客正在使用它，現(xiàn)在這種攻擊已經(jīng)成為商品，正被攻擊者添加到他們的武器庫(kù)中，“Check Point威脅情報(bào)組經(jīng)理Maya Horowitz說(shuō)。

上周，Check Point在華為家庭路由器HG532中發(fā)現(xiàn)了一個(gè)漏洞（CVE-2017-17215），該漏洞被Nexus Zeta利用，來(lái)傳播Mirai變種Mirai Okiru/Satori。此后，華為向客戶(hù)發(fā)布了更新的安全通知，警告該漏洞允許遠(yuǎn)程攻擊者發(fā)送惡意數(shù)據(jù)包到端口37215，在易受攻擊的路由器上執(zhí)行遠(yuǎn)程代碼。

“這個(gè)代碼現(xiàn)在已經(jīng)被各種黑帽所知曉。就像之前免費(fèi)向公眾發(fā)布的SOAP漏洞一樣，它將被各路黑客所使用，“Anubhav說(shuō)。New SkySecurity周四發(fā)布了一個(gè)博客，概述了它發(fā)現(xiàn)零日代碼的情況。

根本原因是與SOAP有關(guān)的一個(gè)錯(cuò)誤，這是許多物聯(lián)網(wǎng)設(shè)備使用的協(xié)議，Anubhav說(shuō)。早期的SOAP（CVE-2014-8361和TR-064）問(wèn)題影響到不同的供應(yīng)商，并被Mirai變種廣泛使用。

在CVE-2017-17215的情況下，這個(gè)零日利用了華為路由器如何使用通用即插即用（UPnP）協(xié)議和TR-064技術(shù)報(bào)告標(biāo)準(zhǔn)。TR-064是一個(gè)標(biāo)準(zhǔn)，可以很容易地將嵌入式UPnP設(shè)備添加到本地網(wǎng)絡(luò)。

研究人員寫(xiě)道：“在這種情況下，華為設(shè)備的TR-064實(shí)施通過(guò)端口37215（UPnP）暴露于廣域網(wǎng)。UPnP框架支持可以執(zhí)行固件升級(jí)操作的“DeviceUpgrade”。

該漏洞允許遠(yuǎn)程管理員通過(guò)在DeviceUpgrade進(jìn)程中注入shell元字符來(lái)執(zhí)行任意命令。

Check Point的研究人員寫(xiě)道：“執(zhí)行這些操作之后，攻擊返回默認(rèn)的HUAWEIUPNP消息，并啟動(dòng)”升級(jí)“。

有效載荷的主要目的是指示機(jī)器人使用手動(dòng)制作的UDP或TCP數(shù)據(jù)包來(lái)進(jìn)行攻擊。

華為表示，針對(duì)攻擊的緩解措施包括配置路由器的內(nèi)置防火墻，更改默認(rèn)密碼或在運(yùn)營(yíng)商側(cè)使用防火墻。

“請(qǐng)注意，這個(gè)路由器的用戶(hù)主要是家庭用戶(hù)，他們通常不登錄他們的路由器的接口，我必須假設(shè)大多數(shù)設(shè)備是不會(huì)進(jìn)行防御的。”霍洛維茨說(shuō)。“我們迫切需要物聯(lián)網(wǎng)設(shè)備制造商把安全作為重中之重，而不是讓用戶(hù)負(fù)責(zé)。”

參考來(lái)源：threatpost