В минувшую среду исследователи из NewSky Security обнаружили, что кто-то активно строит ботнет на SOHO-роутерах. К ночи эта сеть уже включала более 18 тыс. боевых единиц. На следующий день находку подтвердили в Qihoo 360, Rapid7 и GreyNoise Intelligence.
Как оказалось, новый ботнет был построен посредством эксплуатации уязвимости CVE-2017-17215 в роутерах HG532 производства Huawei. Первые сканы порта 37215, через который возможен эксплойт, в NewSky зафиксировали утром 18 июля.
Комментируя находку для Bleeping Computer, эксперт NewSky Анкит Анубхав (Ankit Anubhav) поведал, что создатель ботнета связался с ним, чтобы похвастаться, и даже представил полный список IP-адресов своих жертв. Причины создания сети ботовод, который представился как Anarchy, не назвал; представителю Bleeping Computer тоже не удалось это выяснить в разговоре с этим субъектом.
Анубхав полагает, что Anarchy — это автор IoT-ботов Wicked, Sora, Owari и Omni, с которым он беседовал ранее. Кем бы ни был этот бахвал, специалистов по ИБ тревожит другая проблема: возможность построения многотысячного ботнета за один день.
Брешь CVE-2017-17215 хорошо известна, ее ранее использовали такие IoT-боты, как Satori, JenX, Owari, а рабочий эксплойт был слит в Сеть в конце прошлого года. Давно пора, казалось бы, пропатчить уязвимые устройства или хотя бы заблокировать входящие соединения на порту 37215 на уровне интернет-провайдера, однако новая находка показала, что безопасность роутеров класса SOHO по-прежнему находится в плачевном состоянии.
Как бы подтверждая этот вывод, Anarchy заявил Анубхаву, что собирается атаковать также CVE-2014-8361 — давнюю уязвимость в комплекте разработчика от Realtek, затронувшую сетевые устройства разных вендоров. Ее эксплойт осуществляется через порт 52869, и ИБ-исследователи уже отметили резкий рост соответствующих сканов.
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
