在上周二(5月1日),安全公司VPN Mentor曾向我们发出警告称,他们在由韩国技术公司 Dasan Networks 生产的家庭路由器中发现了两个可导致路由器遭受远程黑客攻击的漏洞。受影响的路由器数量超过100万,并且到目前为止漏洞也没有得到制造商的修复。

存在漏洞的路由器是由 Dasan Networks生产的用于提供光纤网络的 GPON(Gigabit-capable Passive Optical Network,千兆无源光网络)路由器。

第一个漏洞 CVE-2018-10561允许远程攻击者仅通过在路由器网络接口的 URL 后面添加字符串 “?images/” 就能绕过所有的身份验证机制。第二个漏洞 CVE-2018-10562 则允许攻击者向路由器注入任意命令。两个漏洞结合使用,将允许远程攻击者在未经身份验证的情况下完全控制易受攻击的路由器,甚至是控制整个网络。

国内安全公司奇虎360旗下网络安全研究实验室(360Netlab)在本周四(5月10日)通过一篇文章指出,在漏洞细节公布后不久,就已经开始有网络犯罪集团开始利用这两个漏洞来劫持易受攻击的 GPON路由器,并将这些设备纳入到僵尸网络的一部分。

进一步的调查发现,在这短短的十天时间里,至少有5个僵尸网络被发现利用了这两个漏洞,包括Mettle、Muhstik、Mirai、Hajime以及Satori。360Netlab表示,这还是他们第一次看到如此多的僵尸网络在如此短的时间内争夺领土。

在这篇文章中,360Netlab为我们详细介绍了关于5大僵尸网络对漏洞的利用情况,以下是具体的细节:

  • Mettle-这个僵尸网络的命令与控制面板和扫描器托管在位于越南的一台服务器上,攻击者利用开源的Mettle攻击模块将恶意软件植入易受攻击的路由器。360Netlab表示,这是他们第一次观察到这个僵尸网络;
  • Muhstik-这个僵尸网络最初是在个月被发现的,当时它正在积极利用一个Drupal远程代码执行漏洞(CVE-2018-7600)。对最新版本的分析表明,它已经升级为能够利用存在于GPON(CVE-2018-10561和 CVE-2018-10562 )、JBOSS(CVE-2007-1036)和DD-WRT中的漏洞;
  • Mirai-自2016年9月开源以来,这个僵尸网络已被数百个网络犯罪集团使用,包括这次360Netlab也观察到,不止一个团体正在积极利用 GPON漏洞来“武装”他们的Mirai变种;
  • Hajime-这是一个在2016年10月首次被披露的僵尸网络,在最新版本的代码中同样增加了对 GPON漏洞的利用,目标是成千上万的家庭路由器;
  •  Satori-另一个臭名昭著的僵尸网络,它在2017年12月份的短短12个小时里劫持了超过26万台设备。现在,它也被发现增加了对 GPON漏洞的利用。

尽管发现GPON漏洞的VPN Mentor公司已经向路由器制造商报告了漏洞细节,但该公司尚未发布针对这两个漏洞的任何解决方法。更有安全研究人员认为,没有任何补丁处于开发中,这让数百万路由器用户完全暴露给了这些僵尸网络运营商。

更糟糕的是,关于GPON漏洞的一个概念验证(PoC)已经向公众开放,这使得开发利用更加容易,即使是没有技术的黑客。

因此,在该公司发布官方补丁之前,我们建议用户可以通过禁用远程管理权限和使用防火墙阻止来自公共互联网的外部访问,从而保护自己的设备。

 

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。