家用GPON路由器又现新的僵尸网络

近日，家用GPON路由器又有新的僵尸网络(TheMoon)被发现，设备制造商称，将有24万台暴露设备受到影响， 由于TheMoon僵尸网络部署增加了新的0day利用率，同时僵尸网络的攻击者还在想办法增加其影响范围。

在上个月披露的两个漏洞相继在Dasan GPON路由器上发起攻击，但今天，相关研究人员已经透露，一个僵尸网络攻击者似乎部署了影响相同路由器类型的新的0day。

 

该安全公司为了防止更多的攻击，拒绝透露有关这一缺陷的更多细节，但表示能够重现其影响。

他们表示：

“我们在[Dasan] GPON家庭路由器的两个不同版本上测试了这种有效载荷 ”

研究人员公开Dasan GPON路由器漏洞POC

该路由器是由韩国厂商Dasan制造的GPON路由器。 GPON代表千兆无源光网络，是一种通过光纤线路支持互联网连接的电信技术。

该路由器出现的两个漏洞 - 身份验证绕过（CVE-2018-10561）和远程代码执行漏洞（CVE-2018-10562）。

其中第一个漏洞的利用原理是：

它基本上允许任何人通过将“？images”字符串附加到任何URL来访问路由器的内部设置，从而有效地让任何人控制路由器的配置。

通过结合这两个问题，相关研究人员表示，他能够绕过身份验证并在易受攻击的设备上执行代码。

在Dasan GPON 0day之后的新的TheMoon僵尸网络出现

僵尸网络中这款新型出现0day漏洞GPON路由器被称为TheMoon，这是一个很早期的威胁，最早发现于2014年感染Linux服务器，但近年来已开始转向家庭路由器物联网。

TheMoon家族最早是 在2014年 由SANS ISC发现的。该家族瞄准路由器并利用其漏洞安装恶意软件。 该病毒基于其硬编码的iptables规则在华硕和Linksys路由器上使用。

他们还发现TheMoon的P2P通信并不像PC上的同行一样成熟。 例如，而不是使用数字签名，botmaster使用iptables来确保只有他能够命令机器人。 不幸的是，这些规则可以被绕过。 另外，通信没有加密，这导致更容易的分析和检测。

Fortinet发布了下面这个bot的检测结果：

AV：Linux / Agent.B！tr.bdr

AppCtrl：TheMoon.Botnet

TheMoon是最新的僵尸网络，增加了对开发Dasan GPON路由器的支持。五个僵尸网络 --Hajime，Mettle，Mirai，Muhstik和Satori，也已经开发一周。

这五个僵尸网络针对的两个漏洞是CVE-2018-10561和CVE-2018-10562， 这两个漏洞使得攻击者能够入侵受影响的设备

24万台设备受影响 其中2%可能会被僵尸网络感染

最初，据称暴露的设备数量超过了100万，但该设备制造商稍后正式声明，易受CVE-2018-10561和CVE-2018-10562影响的设备数量仅为240,000。

好消息是，尽管存在大量易受攻击的设备，但上周所有试图利用这些路由器的僵尸网络都未能这样做。 原因是他们试图使用的漏洞包未能正确感染设备。

研究人员表示，这五个僵尸网络只能感染整个易受攻击的GPON路由器池的2％左右。

由于TheMoon僵尸网络部署增加了新的0day，同时僵尸网络开发者在过去几天一直在努力增加它的影响范围。

GPON路由器中的六个僵尸网络中的一个已被取消

研究人员表示，与安全行业的合作伙伴一起，他们已经取得了胜利，因为他们已经设法取消了上周针对GPON路由器的五个僵尸网络之一Muhstik僵尸网络的服务器。

然而，胜利可能是短暂的，因为Muhstik管理员似乎试图安装新的服务器并恢复他们的路由器黑客活动。

来源：bleepingcomputer

转自：http://toutiao.secjia.com/gpon-themoon-0day

标签： linux 安全 代码 服务器 互联网 开发者 漏洞 通信 网络 问题 行业

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。