家用GPON路由器又现新的僵尸网络
2018-06-11 来源:
近日,家用GPON路由器又有新的僵尸网络(TheMoon)被发现,设备制造商称,将有24万台暴露设备受到影响, 由于TheMoon僵尸网络部署增加了新的0day利用率,同时僵尸网络的攻击者还在想办法增加其影响范围。
在上个月披露的两个漏洞相继在Dasan GPON路由器上发起攻击,但今天,相关研究人员已经透露,一个僵尸网络攻击者似乎部署了影响相同路由器类型的新的0day。
该安全公司为了防止更多的攻击,拒绝透露有关这一缺陷的更多细节,但表示能够重现其影响。
他们表示:
“我们在[Dasan] GPON家庭路由器的两个不同版本上测试了这种有效载荷 ”
研究人员公开Dasan GPON路由器漏洞POC
该路由器是由韩国厂商Dasan制造的GPON路由器。 GPON代表千兆无源光网络,是一种通过光纤线路支持互联网连接的电信技术。
该路由器出现的两个漏洞 - 身份验证绕过(CVE-2018-10561)和远程代码执行漏洞(CVE-2018-10562)。
其中第一个漏洞的利用原理是:
它基本上允许任何人通过将“?images”字符串附加到任何URL来访问路由器的内部设置,从而有效地让任何人控制路由器的配置。
通过结合这两个问题,相关研究人员表示,他能够绕过身份验证并在易受攻击的设备上执行代码。
在Dasan GPON 0day之后的新的TheMoon僵尸网络出现
僵尸网络中这款新型出现0day漏洞GPON路由器被称为TheMoon,这是一个很早期的威胁,最早发现于2014年感染Linux服务器,但近年来已开始转向家庭路由器物联网。
TheMoon家族最早是 在2014年 由SANS ISC发现的。该家族瞄准路由器并利用其漏洞安装恶意软件。 该病毒基于其硬编码的iptables规则在华硕和Linksys路由器上使用。
他们还发现TheMoon的P2P通信并不像PC上的同行一样成熟。 例如,而不是使用数字签名,botmaster使用iptables来确保只有他能够命令机器人。 不幸的是,这些规则可以被绕过。 另外,通信没有加密,这导致更容易的分析和检测。
Fortinet发布了下面这个bot的检测结果:
AV:Linux / Agent.B!tr.bdr
AppCtrl:TheMoon.Botnet
TheMoon是最新的僵尸网络,增加了对开发Dasan GPON路由器的支持。五个僵尸网络 --Hajime,Mettle,Mirai,Muhstik和Satori,也已经开发一周。
这五个僵尸网络针对的两个漏洞是CVE-2018-10561和CVE-2018-10562, 这两个漏洞使得攻击者能够入侵受影响的设备
24万台设备受影响 其中2%可能会被僵尸网络感染
最初,据称暴露的设备数量超过了100万,但该设备制造商稍后正式声明,易受CVE-2018-10561和CVE-2018-10562影响的设备数量仅为240,000。
好消息是,尽管存在大量易受攻击的设备,但上周所有试图利用这些路由器的僵尸网络都未能这样做。 原因是他们试图使用的漏洞包未能正确感染设备。
研究人员表示,这五个僵尸网络只能感染整个易受攻击的GPON路由器池的2%左右。
由于TheMoon僵尸网络部署增加了新的0day,同时僵尸网络开发者在过去几天一直在努力增加它的影响范围。
GPON路由器中的六个僵尸网络中的一个已被取消
研究人员表示,与安全行业的合作伙伴一起,他们已经取得了胜利,因为他们已经设法取消了上周针对GPON路由器的五个僵尸网络之一Muhstik僵尸网络的服务器。
然而,胜利可能是短暂的,因为Muhstik管理员似乎试图安装新的服务器并恢复他们的路由器黑客活动。
来源:bleepingcomputer
转自:http://toutiao.secjia.com/gpon-themoon-0day
标签: linux 安全 代码 服务器 互联网 开发者 漏洞 通信 网络 问题 行业
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。