家用GPON路由器又现新的僵尸网络

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

近日,家用GPON路由器又有新的僵尸网络(TheMoon)被发现,设备制造商称,将有24万台暴露设备受到影响, 由于TheMoon僵尸网络部署增加了新的0day利用率,同时僵尸网络的攻击者还在想办法增加其影响范围。

在上个月披露的两个漏洞相继在Dasan GPON路由器上发起攻击,但今天,相关研究人员已经透露,一个僵尸网络攻击者似乎部署了影响相同路由器类型的新的0day。

 

该安全公司为了防止更多的攻击,拒绝透露有关这一缺陷的更多细节,但表示能够重现其影响。

他们表示:

“我们在[Dasan] GPON家庭路由器的两个不同版本上测试了这种有效载荷 ”

研究人员公开Dasan GPON路由器漏洞POC

该路由器是由韩国厂商Dasan制造的GPON路由器。 GPON代表千兆无源光网络,是一种通过光纤线路支持互联网连接的电信技术。

该路由器出现的两个漏洞 - 身份验证绕过(CVE-2018-10561)和远程代码执行漏洞(CVE-2018-10562)。

其中第一个漏洞的利用原理是:

它基本上允许任何人通过将“?images”字符串附加到任何URL来访问路由器的内部设置,从而有效地让任何人控制路由器的配置。

通过结合这两个问题,相关研究人员表示,他能够绕过身份验证并在易受攻击的设备上执行代码。

在Dasan GPON 0day之后的新的TheMoon僵尸网络出现

僵尸网络中这款新型出现0day漏洞GPON路由器被称为TheMoon,这是一个很早期的威胁,最早发现于2014年感染Linux服务器,但近年来已开始转向家庭路由器物联网。

TheMoon家族最早是 在2014年 由SANS ISC发现的。该家族瞄准路由器并利用其漏洞安装恶意软件。 该病毒基于其硬编码的iptables规则在华硕和Linksys路由器上使用。

他们还发现TheMoon的P2P通信并不像PC上的同行一样成熟。 例如,而不是使用数字签名,botmaster使用iptables来确保只有他能够命令机器人。 不幸的是,这些规则可以被绕过。 另外,通信没有加密,这导致更容易的分析和检测。

Fortinet发布了下面这个bot的检测结果:

AV:Linux / Agent.B!tr.bdr

AppCtrl:TheMoon.Botnet

TheMoon是最新的僵尸网络,增加了对开发Dasan GPON路由器的支持。五个僵尸网络 --Hajime,Mettle,Mirai,Muhstik和Satori,也已经开发一周。

这五个僵尸网络针对的两个漏洞是CVE-2018-10561和CVE-2018-10562, 这两个漏洞使得攻击者能够入侵受影响的设备

24万台设备受影响 其中2%可能会被僵尸网络感染

最初,据称暴露的设备数量超过了100万,但该设备制造商稍后正式声明,易受CVE-2018-10561和CVE-2018-10562影响的设备数量仅为240,000。

好消息是,尽管存在大量易受攻击的设备,但上周所有试图利用这些路由器的僵尸网络都未能这样做。 原因是他们试图使用的漏洞包未能正确感染设备。

研究人员表示,这五个僵尸网络只能感染整个易受攻击的GPON路由器池的2%左右。

由于TheMoon僵尸网络部署增加了新的0day,同时僵尸网络开发者在过去几天一直在努力增加它的影响范围。

GPON路由器中的六个僵尸网络中的一个已被取消

研究人员表示,与安全行业的合作伙伴一起,他们已经取得了胜利,因为他们已经设法取消了上周针对GPON路由器的五个僵尸网络之一Muhstik僵尸网络的服务器。

然而,胜利可能是短暂的,因为Muhstik管理员似乎试图安装新的服务器并恢复他们的路由器黑客活动。

来源:bleepingcomputer

转自:http://toutiao.secjia.com/gpon-themoon-0day

标签: linux 安全 代码 服务器 互联网 开发者 漏洞 通信 网络 问题 行业

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:360发现区块链史诗级漏洞 可完全控制虚拟货币交易

下一篇:Hadoop配置不当 可致未经授权访问