网络公司的研究人员周四表示,不法分子正在积极利用两个新的零日漏洞,将路由器和摄像头卷入分布式拒绝服务攻击中使用的恶意僵尸网络。
根据Akamai的一篇帖子,这两个漏洞以前对制造商和整个安全研究界来说都是未知的,当受影响的设备使用默认管理凭据时,它们允许远程执行恶意代码。未知攻击者一直在利用零日漏洞来破坏设备,以便它们可以感染 Mirai,这是一种强大的开源软件,它使路由器、摄像头和其他类型的物联网设备成为僵尸网络的一部分,能够发动以前难以想象的 DDoS 规模。
Akamai表示,在修复到位以防止零日漏洞被更广泛地利用之前,它不会识别特定的设备或制造商。“尽管这些信息有限,但我们认为我们有责任提醒社区注意这些 CVE 在野外的持续利用。负责任地披露信息以帮助防御者,与过度共享信息之间只有一线之隔,这些信息可能会被成群结队的威胁行为者进一步滥用。
Akamai 帖子提供了大量用于攻击的文件哈希以及 IP 和域地址。网络摄像机和路由器的所有者可以使用此信息来查看其网络上的设备是否已成为目标。远程代码执行使用一种称为命令注入的技术,该技术首先要求攻击者使用易受攻击设备中配置的凭据对自己进行身份验证。身份验证和注入是使用标准 POST 请求执行的。Akamai 研究员 Larry Cashdollar 在一封电子邮件中写道:
设备通常不允许通过管理接口执行代码。这就是为什么需要通过命令注入来获取 RCE 的原因。由于攻击者需要首先进行身份验证,因此他们必须知道一些有效的登录凭据。如果设备使用易于猜测的登录名,例如 admin:password 或 admin:password1,如果有人扩展要尝试的凭据列表,这些登录也可能面临风险。他说,两家制造商都已收到通知,但到目前为止,其中只有一家承诺发布补丁,预计将于下个月发布。第二家制造商的修复状态目前未知。Cashdollar表示,不完整的互联网扫描显示易受攻击的设备非常之多。受影响的设备的实际数量可能更高。Mirai 于 2016 年首次引起公众的广泛关注,当时僵尸网络(即在敌对威胁行为者控制下的受感染设备网络)以当时创纪录的 620 Gb/s DDoS 摧毁了安全新闻网站 KrebsOnSecurity。
从那时起,Mirai 和其他物联网僵尸网络就成为互联网生活中的一个事实。Akamai 发现的攻击中使用的 Mirai 菌株主要是一种称为 JenX 的旧菌株。但是,它已被修改为使用比平时少得多的域名来连接到命令和控制服务器。一些恶意软件样本还显示与称为 hailBot 的单独 Mirai 变体有关。Akamail观察到的零日攻击中使用的代码(包括攻击性的种族主义诽谤)与5月份观察到的一家中国安全公司针对俄罗斯新闻网站的DDoS攻击中使用的代码几乎相同。下图显示了并排比较。
alert tcp any any -> any any (msg:"InfectedSlurs 0day exploit #1 attempt"; content:"lang="; content:"useNTPServer="; content:"synccheck="; content:"timeserver="; content:"interval="; content:"enableNTPServer="; sid:1000006;)
和
alert tcp any any -> any any (msg:"InfectedSlurs 0day exploit #2 attempt"; content:"page_suc="; content:"system.general.datetime="; content:"ntp.general.hostname="; pcre:"ntp.general.hostname="; content:"ntp.general.dst="; content:"ntp.general.dst.adjust="; content:"system.general.timezone="; content:"system.general.tzname="; content:"ntp.general.enable="; sid:1000005;)
担心自己可能成为这些漏洞攻击目标的个人或组织可以使用 Akamail 发布的 Snort 规则和妥协指标来检测和击退攻击。目前,无法识别易受攻击的特定设备或这些设备的制造商。
