雙重門：IoT殭屍網路可繞過防火牆安置後門

安全公司 NewSky Security 發現了新物聯網(IoT)殭屍網路「雙重門(DoubleDoor)」，該殭屍網路利用兩個漏洞繞過受害設備上的身份驗證過程和其他安全措施。

攻擊者能很容易地奪取目標設備的完整控制權，無論用戶是啟用了身份驗證還是添加了防火牆。該惡意軟體特別針對CVE-2015–7755漏洞——在Juniper NetScreen防火牆的SmartScreen操作系統中發現的著名漏洞，還有Zyxel數據機後門漏洞CVE-2016–10401。

NewSky Security 的博客中稱，該殭屍網路的惡意活動從部署Juniper漏洞利用來繞過防火牆身份驗證開始。利用該後門，攻擊者能訪問SSH並通過硬編碼的口令「

攻擊者可通過該漏洞利用獲取設備特權。NewSky Security 的博客中還提到，在染指超級用戶之前，攻擊者執行基於口令的攻擊，獲取基礎許可權賬戶，比如admin: CenturyL1nk。而且，該殭屍網路還會進行偵察以確保攻擊成功，實現目標IoT設備入侵。

因為每次攻擊都用的是隨機字元串，沒有留下標準字元串，該殭屍網路的偵察行為便難以被歸類為惡意。不過，這些字元串的長度有個唯一的共同特點：長度都是8個字元。研究人員認為，該殭屍網路還處於其起步階段。2018年1月18到27號期間發生的攻擊絕大部分都源自韓國IP。只有裝了未修復的Zyxel數據機且加裝了沒打補丁的特定版本ScreenOS防火牆才受該攻擊影響。

研究人員表示，企業環境中雙層IoT防護很常見，因為企業從不依賴內置的IoT身份驗證，他們通常會用防火牆加上另一層防護。

「儘管此類企業設備在數量上比較少，但控制此類企業環境路由器能讓攻擊者發起針對性IoT攻擊，對攻擊者來說更有價值。」

Zyxel信息技術總監揭示，該公司在2017年12月就在客戶設備上部署了處理該漏洞的解決方案。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！