ps:升级补丁很重要啊~
NewSky Security(青天科技)于上周就一个新出现的僵尸网络发出了预警,仅仅在一天之内,黑客就利用一个已知的漏洞攻陷了超过1.8万台华为路由器。随后,这一消息得到了奇虎360 Netlab、Rapid7和Greynoise的证实。
仅使用一个漏洞就完成了一切
根据NewSky Security安全研究员Ankit Anubhav的说法,此次事件最令人不安的地方在于:一是,攻击者仅在有限的时间里就攻陷了大量的设备;二是,它们并没有使用任何零日漏洞,而是使用了一个已知的漏洞来完成这一切。
攻击者利用的是存在于华为HG532路由器中的一个已知漏洞CVE-2017-17215来感染设备并构建了这个僵尸网络。根据奇虎360 Netlab的NetScan系统收集的数据来看,攻击者是在7月18日开始扫描这个可以通过端口37215暴露的漏洞的。
也就是在当天晚些时候,Anubhav通过其Twitter表示该僵尸网络已经集结了1.8万台路由器。Anubhav指出,攻击者向他炫耀自己的战果,甚至还分享了所有僵尸网络受害者的 IP 地址清单。
1.
攻击者似乎早已“名声在外”
据Anubhav介绍,攻击者在与他的交谈中使用了代号“Anarchy”。但Anubhav表示,这个所谓的“Anarchy”很可能就是之前被识别为“Wicked”的黑客。
Wicked是一位知名的恶意软件开发者,之前曾创建了 Mirai 物联网恶意软件的多个变种。这包括Wicked、Omni和Owari(Sora),之前曾被用于发起DDoS攻击。
在与Anubhav的交谈中,这名黑客并没有透露他创建这个新的僵尸网络的动机。
Realtek路由器将是下一个目标
攻击者告诉Anubhav,他还计划针对CVE-2014-8361漏洞。这是一个存在于Realtek路由器中,可通过端口52869利用的漏洞。
Anubhav表示,Anarchy 的确已开始了针对Realtek路由器漏洞利用的测试。这个说法也得到了Rapid7 和 Greynoise的证实,对该漏洞的扫描确实出现了激增。
安全专家表示,现在竟然有人能够在一天之内构建如此庞大的一个 DDoS 僵尸网络,这既令人惊讶又令人担心,这充分地反映除了SOHO 路由器令人不安的安全现状。
此外,NewSky Security和CERT Tunisia还公布了与僵尸网络相关的信息,希望能够有助于抵御这一威胁。
联系客服