Эксплоит для атак на маршрутизаторы Huawei опубликован в открытом доступе
На портале Pastebin опубликован эксплоит, использовавшийся вредоносным ПО Satori (вариант Mirai) для заражения маршрутизаторов Huawei Home Gateway. Об этом сообщил исследователь безопасности Анкит Анубхав (Ankit Anubhav) в своем блоге.
Эксплоит для уязвимости CVE- 2017-17215 использовался хакером под псевдонимом Nexus Zeta для распространения вредоносного ПО Satori, также известного как Okiku. По словам аналитика компании Check Point Майи Хоровитц (Maya Horowitz), теперь, когда эксплоит стал доступен публично, его начнут активно использовать злоумышленники. Можно предположить, что IoT-ботнеты, пытающиеся проэксплуатировать как можно больший набор уязвимостей, будут добавлять CVE-2017-17215 в свой арсенал, добавила она.
Уязвимость CVE-2017-17215 в модели маршрутизатора Huawei HG532 была обнаружена ранее в этом месяце. Проблема позволяла удаленному злоумышленнику отправлять вредоносные пакеты на порт 37215 для выполнения кода на уязвимых устройствах.
Как пояснили эксперты, причиной уязвимости была ошибка, связанная с SOAP - протоколом, используемым многими IoT-устройствами. Ранее уязвимости в SOAP и TR-064 широко эксплуатировались различными вариантами ботнета Mirai.
Злоумышленник может проэксплуатировать проблему путем отправки специально сформированных пакетов на порт 37215. Структура UPnP поддерживает функцию DeviceUpgrade, позволяющую выполнять обновление прошивки, пояснил специалист. Таким образом уязвимость позволяет удаленно выполнить произвольные команды, вставляя метасимволы оболочки в процесс DeviceUpgrade.
По словам Анубхава, данный эксплоит уже использовался вредоносным ПО Brickerbot и Satori. Теперь, когда этот код является общедоступным, он будет включен в множество различных вариантов вредоносного ПО. Из соображений безопасности исследователь не стал публиковать ссылку на эксплоит.
Читайте также
- Разработчики Drupal исправят несколько уязвимостей
- Исследователям удалось похитить биткойны с физически изолированной системы
- В Эстонии начались крупные киберучения Locked Shields 2018
- В Firefox появится защита от CSRF-атак
- Опубликованы подробности деятельности хакерской группировки Energetic Bear
- Positive Technologies проанализировала приложения банков: больше половины систем ДБО содержат критически опасные уязвимости