返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
家用GPON路由器又现新的僵尸网络
2018-05-23 IT运维网 / 转载

近日,家用GPON路由器又有新的僵尸网络(TheMoon)被发现,设备制造商称,将有24万台暴露设备受到影响, 由于TheMoon僵尸网络部署增加了新的0day利用率,同时僵尸网络的攻击者还在想办法增加其影响范围。

在上个月披露的两个漏洞相继在Dasan GPON路由器上发起攻击,但今天,相关研究人员已经透露,一个僵尸网络攻击者似乎部署了影响相同路由器类型的新的0day。

 

该安全公司为了防止更多的攻击,拒绝透露有关这一缺陷的更多细节,但表示能够重现其影响。

他们表示:

“我们在[Dasan] GPON家庭路由器的两个不同版本上测试了这种有效载荷 ”

研究人员公开Dasan GPON路由器漏洞POC

该路由器是由韩国厂商Dasan制造的GPON路由器。 GPON代表千兆无源光网络,是一种通过光纤线路支持互联网连接的电信技术。

该路由器出现的两个漏洞 - 身份验证绕过(CVE-2018-10561)和远程代码执行漏洞(CVE-2018-10562)。

其中第一个漏洞的利用原理是:

它基本上允许任何人通过将“?images”字符串附加到任何URL来访问路由器的内部设置,从而有效地让任何人控制路由器的配置。

通过结合这两个问题,相关研究人员表示,他能够绕过身份验证并在易受攻击的设备上执行代码。

在Dasan GPON 0day之后的新的TheMoon僵尸网络出现

僵尸网络中这款新型出现0day漏洞GPON路由器被称为TheMoon,这是一个很早期的威胁,最早发现于2014年感染Linux服务器,但近年来已开始转向家庭路由器物联网。

TheMoon家族最早是 在2014年 由SANS ISC发现的。该家族瞄准路由器并利用其漏洞安装恶意软件。 该病毒基于其硬编码的iptables规则在华硕和Linksys路由器上使用。

他们还发现TheMoon的P2P通信并不像PC上的同行一样成熟。 例如,而不是使用数字签名,botmaster使用iptables来确保只有他能够命令机器人。 不幸的是,这些规则可以被绕过。 另外,通信没有加密,这导致更容易的分析和检测。

Fortinet发布了下面这个bot的检测结果:

AV:Linux / Agent.B!tr.bdr

AppCtrl:TheMoon.Botnet

TheMoon是最新的僵尸网络,增加了对开发Dasan GPON路由器的支持。五个僵尸网络 --Hajime,Mettle,Mirai,Muhstik和Satori,也已经开发一周。

这五个僵尸网络针对的两个漏洞是CVE-2018-10561和CVE-2018-10562, 这两个漏洞使得攻击者能够入侵受影响的设备

24万台设备受影响 其中2%可能会被僵尸网络感染

最初,据称暴露的设备数量超过了100万,但该设备制造商稍后正式声明,易受CVE-2018-10561和CVE-2018-10562影响的设备数量仅为240,000。

好消息是,尽管存在大量易受攻击的设备,但上周所有试图利用这些路由器的僵尸网络都未能这样做。 原因是他们试图使用的漏洞包未能正确感染设备。

研究人员表示,这五个僵尸网络只能感染整个易受攻击的GPON路由器池的2%左右。

由于TheMoon僵尸网络部署增加了新的0day,同时僵尸网络开发者在过去几天一直在努力增加它的影响范围。

GPON路由器中的六个僵尸网络中的一个已被取消

研究人员表示,与安全行业的合作伙伴一起,他们已经取得了胜利,因为他们已经设法取消了上周针对GPON路由器的五个僵尸网络之一Muhstik僵尸网络的服务器。

然而,胜利可能是短暂的,因为Muhstik管理员似乎试图安装新的服务器并恢复他们的路由器黑客活动。

来源:bleepingcomputer
转自:http://toutiao.secjia.com/gpon-themoon-0day
相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读