Mirai新变种盯上路由器 专家：厂商别指望用户改密码

　　Mirai恶意软件中使用的被称为Satori的漏洞利用代码，在过去几周内被用来攻击成千上万的华为路由器。研究人员警告说，这些代码将很快成为商品，并通过僵尸网络（如Reaper或IOTrooper）在DDoS攻击中发挥作用。

　　据雷锋网了解，来自New SkySecurity的研究人员Ankit Anubhav在本周一确定了Pastebin.com公开发布的代码。该代码是一个名为“Nexus Zeta”的黑客使用零日漏洞CVE-2017-17215传播了Mirai恶意软件的一个变种，称为Satori，也被称为Mirai Okiru。

　　攻击代码已经被两个主要的物联网僵尸网络，Brickerbot和Satori使用，现在代码已经公开，它将被整合到不同的僵尸网络中。

　　这种攻击已经被两种不同的物联网僵尸网络攻击，即Satori和Brickerbot所武装。

　　“代码被公开意味着更多的黑客正在使用它，现在这种攻击已经成为商品，正被攻击者添加到他们的武器库中，“Check Point威胁情报组经理Maya Horowitz说。

　　上周，Check Point在华为家庭路由器HG532中发现了一个漏洞（CVE-2017-17215），该漏洞被Nexus Zeta利用，来传播Mirai变种Mirai Okiru/Satori。此后，华为向客户发布了更新的安全通知，警告该漏洞允许远程攻击者发送恶意数据包到端口37215，在易受攻击的路由器上执行远程代码。

　　“这个代码现在已经被各种黑帽所知晓。就像之前免费向公众发布的SOAP漏洞一样，它将被各路黑客所使用，“Anubhav说。New SkySecurity周四发布了一个博客，概述了它发现零日代码的情况。

　　根本原因是与SOAP有关的一个错误，这是许多物联网设备使用的协议，Anubhav说。早期的SOAP（CVE-2014-8361和TR-064）问题影响到不同的供应商，并被Mirai变种广泛使用。

　　在CVE-2017-17215的情况下，这个零日利用了华为路由器如何使用通用即插即用（UPnP）协议和TR-064技术报告标准。TR-064是一个标准，可以很容易地将嵌入式UPnP设备添加到本地网络。

　　研究人员写道：“在这种情况下，华为设备的TR-064实施通过端口37215（UPnP）暴露于广域网。UPnP框架支持可以执行固件升级操作的“DeviceUpgrade”。

　　该漏洞允许远程管理员通过在DeviceUpgrade进程中注入shell元字符来执行任意命令。

　　Check Point的研究人员写道：“执行这些操作之后，攻击返回默认的HUAWEIUPNP消息，并启动”升级“。

　　有效载荷的主要目的是指示机器人使用手动制作的UDP或TCP数据包来进行攻击。

　　华为表示，针对攻击的缓解措施包括配置路由器的内置防火墙，更改默认密码或在运营商侧使用防火墙。

　　“请注意，这个路由器的用户主要是家庭用户，他们通常不登录他们的路由器的接口，我必须假设大多数设备是不会进行防御的。”霍洛维茨说。“我们迫切需要物联网设备制造商把安全作为重中之重，而不是让用户负责。”

　　参考来源：threatpost