Mirai惡意軟件中使用的被稱為Satori的漏洞利用代碼，在過去幾周內被用來攻擊成千上萬的華為路由器。研究人員警告說，這些代碼將很快成為商品，并通過僵尸網絡（如Reaper或IOTrooper）在DDoS攻擊中發揮作用。

據雷鋒網了解，來自New SkySecurity的研究人員Ankit Anubhav在本周一確定了Pastebin.com公開發布的代碼。該代碼是一個名為“Nexus Zeta”的黑客使用零日漏洞CVE-2017-17215傳播了Mirai惡意軟件的一個變種，稱為Satori，也被稱為Mirai Okiru。

攻擊代碼已經被兩個主要的物聯網僵尸網絡，Brickerbot和Satori使用，現在代碼已經公開，它將被整合到不同的僵尸網絡中。

這種攻擊已經被兩種不同的物聯網僵尸網絡攻擊，即Satori和Brickerbot所武裝。

“代碼被公開意味著更多的黑客正在使用它，現在這種攻擊已經成為商品，正被攻擊者添加到他們的武器庫中，“Check Point威脅情報組經理Maya Horowitz說。

上周，Check Point在華為家庭路由器HG532中發現了一個漏洞（CVE-2017-17215），該漏洞被Nexus Zeta利用，來傳播Mirai變種Mirai Okiru/Satori。此后，華為向客戶發布了更新的安全通知，警告該漏洞允許遠程攻擊者發送惡意數據包到端口37215，在易受攻擊的路由器上執行遠程代碼。

“這個代碼現在已經被各種黑帽所知曉。就像之前免費向公眾發布的SOAP漏洞一樣，它將被各路黑客所使用，“Anubhav說。New SkySecurity周四發布了一個博客，概述了它發現零日代碼的情況。

根本原因是與SOAP有關的一個錯誤，這是許多物聯網設備使用的協議，Anubhav說。早期的SOAP（CVE-2014-8361和TR-064）問題影響到不同的供應商，并被Mirai變種廣泛使用。

在CVE-2017-17215的情況下，這個零日利用了華為路由器如何使用通用即插即用（UPnP）協議和TR-064技術報告標準。TR-064是一個標準，可以很容易地將嵌入式UPnP設備添加到本地網絡。

研究人員寫道：“在這種情況下，華為設備的TR-064實施通過端口37215（UPnP）暴露于廣域網。UPnP框架支持可以執行固件升級操作的“DeviceUpgrade”。

該漏洞允許遠程管理員通過在DeviceUpgrade進程中注入shell元字符來執行任意命令。

Check Point的研究人員寫道：“執行這些操作之后，攻擊返回默認的HUAWEIUPNP消息，并啟動”升級“。

有效載荷的主要目的是指示機器人使用手動制作的UDP或TCP數據包來進行攻擊。

華為表示，針對攻擊的緩解措施包括配置路由器的內置防火墻，更改默認密碼或在運營商側使用防火墻。

“請注意，這個路由器的用戶主要是家庭用戶，他們通常不登錄他們的路由器的接口，我必須假設大多數設備是不會進行防御的。”霍洛維茨說。“我們迫切需要物聯網設備制造商把安全作為重中之重，而不是讓用戶負責。”

參考來源：threatpost