ps：升级补丁很重要啊~

NewSky Security（青天科技）于上周就一个新出现的僵尸网络发出了预警，仅仅在一天之内，黑客就利用一个已知的漏洞攻陷了超过1.8万台华为路由器。随后，这一消息得到了奇虎360 Netlab、Rapid7和Greynoise的证实。

仅使用一个漏洞就完成了一切

根据NewSky Security安全研究员Ankit Anubhav的说法，此次事件最令人不安的地方在于：一是，攻击者仅在有限的时间里就攻陷了大量的设备；二是，它们并没有使用任何零日漏洞，而是使用了一个已知的漏洞来完成这一切。

攻击者利用的是存在于华为HG532路由器中的一个已知漏洞CVE-2017-17215来感染设备并构建了这个僵尸网络。根据奇虎360 Netlab的NetScan系统收集的数据来看，攻击者是在7月18日开始扫描这个可以通过端口37215暴露的漏洞的。

也就是在当天晚些时候，Anubhav通过其Twitter表示该僵尸网络已经集结了1.8万台路由器。Anubhav指出，攻击者向他炫耀自己的战果，甚至还分享了所有僵尸网络受害者的 IP 地址清单。

1.

攻击者似乎早已“名声在外”

据Anubhav介绍，攻击者在与他的交谈中使用了代号“Anarchy”。但Anubhav表示，这个所谓的“Anarchy”很可能就是之前被识别为“Wicked”的黑客。

Wicked是一位知名的恶意软件开发者，之前曾创建了 Mirai 物联网恶意软件的多个变种。这包括Wicked、Omni和Owari（Sora），之前曾被用于发起DDoS攻击。

在与Anubhav的交谈中，这名黑客并没有透露他创建这个新的僵尸网络的动机。

Realtek路由器将是下一个目标

攻击者告诉Anubhav，他还计划针对CVE-2014-8361漏洞。这是一个存在于Realtek路由器中，可通过端口52869利用的漏洞。

Anubhav表示，Anarchy 的确已开始了针对Realtek路由器漏洞利用的测试。这个说法也得到了Rapid7 和 Greynoise的证实，对该漏洞的扫描确实出现了激增。

安全专家表示，现在竟然有人能够在一天之内构建如此庞大的一个 DDoS 僵尸网络，这既令人惊讶又令人担心，这充分地反映除了SOHO 路由器令人不安的安全现状。

此外，NewSky Security和CERT Tunisia还公布了与僵尸网络相关的信息，希望能够有助于抵御这一威胁。