Embora os criadores originais do infame IoT malware Mirai já tenham sido presos e enviados para a prisão, as variantes da notável botnet ainda estão no jogo devido à disponibilidade de seu código fonte na Internet.
Os hackers utilizaram amplamente o malware IoT infame para acumular silenciosamente um exército de dispositivos não seguros de internet-of-things , incluindo roteadores domésticos e de escritório, que poderiam ser usados a qualquer momento por hackers para lançar ataques DDoS paralisadores da Internet .
Outra variante do Mirai atingiu uma vez mais, se propagando rapidamente explorando uma vulnerabilidade de dia zero em um modelo de roteador doméstico Huawei.
Sondar a Satori (também conhecido como Okiku), a variante Mirai tem como alvo o modelo de roteador Huawei modelo HG532, como pesquisadores de segurança da Check Point disseram que rastrearam centenas de milhares de tentativas de explorar uma vulnerabilidade no modelo do roteador na natureza.
Identificado inicialmente pelos pesquisadores do Check Point no final de novembro, Satori foi encontrado infectando mais de 200.000 endereços IP em apenas 12 horas no início deste mês, de acordo com uma análise publicada pela empresa de segurança chinesa 360 Netlab em 5 de dezembro. Os
pesquisadores suspeitavam de um hacker não qualificado que O nome "Nexus Zeta" está explorando uma vulnerabilidade de execução de código remoto de zero dia (CVE-2017-17215) nos dispositivos Huawei HG532, de acordo com um novo relatório publicado quinta-feira pela Check Point.
"TR-064 foi projetado e destinado a configuração de rede local", diz o relatório. "Por exemplo, permite que um engenheiro implemente a configuração básica do dispositivo, atualizações de firmware e muito mais dentro da rede interna".Uma vez que esta vulnerabilidade permitiu que atacantes remotos executem comandos arbitrários para o dispositivo, os invasores foram encontrados explorando essa falha para baixar e executar a carga útil mal-intencionada nos roteadores Huawei e carregar o botnet Satori.
No ataque de Satori, cada bot é instruído a inundar alvos com pacotes UDP ou TCP manualmente.
"O número de pacotes usados para a ação de inundação e seus parâmetros correspondentes são transmitidos pelo servidor C & C", disseram pesquisadores. "Além disso, o servidor C & C pode passar por um IP individual para ataque ou uma sub-rede usando um endereço de sub-rede e um número de bits valiosos".Embora os pesquisadores tenham observado uma enxurrada de ataques em todo o mundo contra os dispositivos Huawei HG532, os países mais visados incluem os Estados Unidos, Itália, Alemanha e Egito.
Os pesquisadores do Check Point "discretamente" revelaram a vulnerabilidade à Huawei assim que suas descobertas foram confirmadas e a empresa confirmou a vulnerabilidade e emitiu um aviso de segurança atualizado aos clientes na sexta-feira.
"Um invasor autenticado poderia enviar pacotes maliciosos para a porta 37215 para iniciar ataques. A exploração bem sucedida poderia levar à execução remota de código arbitrário", disse Huawei em seu aviso de segurança .A empresa também ofereceu algumas atenuações que poderiam contornar ou impedir a exploração, que incluiu o uso da função de firewall embutida, a alteração das credenciais padrão de seus dispositivos ea implantação de um firewall no lado da operadora.
Os usuários também podem implantar os firewalls NGFWs (Next Generation Firewall) ou o data center do Huawei e atualizar seu banco de dados de assinatura IPS para a mais recente versão IPS_H20011000_2017120100 lançada em 1 de dezembro de 2017, para detectar e defender contra essa falha.
FONTE: thehackernew.com
Comentários
Postar um comentário