影響上百萬台GPON路由器的漏洞正在被至少5個殭屍網路利用

「用指尖改變世界」

在上周二（5月1日），安全公司VPN Mentor曾向我們發出警告稱，他們在由韓國技術公司 Dasan Networks 生產的家庭路由器中發現了兩個可導致路由器遭受遠程黑客攻擊的漏洞。受影響的路由器數量超過100萬，並且到目前為止漏洞也沒有得到製造商的修復。

存在漏洞的路由器是由 Dasan Networks生產的用於提供光纖網路的 GPON（Gigabit-capable Passive Optical Network，千兆無源光網路）路由器。

第一個漏洞 CVE-2018-10561允許遠程攻擊者僅通過在路由器網路介面的 URL 後面添加字元串 「?images/」 就能繞過所有的身份驗證機制。第二個漏洞 CVE-2018-10562 則允許攻擊者向路由器注入任意命令。兩個漏洞結合使用，將允許遠程攻擊者在未經身份驗證的情況下完全控制易受攻擊的路由器，甚至是控制整個網路。

國內安全公司奇虎360旗下網路安全研究實驗室（360Netlab）在本周四（5月10日）通過一篇文章指出，在漏洞細節公布後不久，就已經開始有網路犯罪集團開始利用這兩個漏洞來劫持易受攻擊的 GPON路由器，並將這些設備納入到殭屍網路的一部分。

進一步的調查發現，在這短短的十天時間裡，至少有5個殭屍網路被發現利用了這兩個漏洞，包括Mettle、Muhstik、Mirai、Hajime以及Satori。360Netlab表示，這還是他們第一次看到如此多的殭屍網路在如此短的時間內爭奪領土。

在這篇文章中，360Netlab為我們詳細介紹了關於5大殭屍網路對漏洞的利用情況，以下是具體的細節：

Mettle-這個殭屍網路的命令與控制面板和掃描器託管在位於越南的一台伺服器上，攻擊者利用開源的Mettle攻擊模塊將惡意軟體植入易受攻擊的路由器。360Netlab表示，這是他們第一次觀察到這個殭屍網路；

Muhstik-這個殭屍網路最初是在個月被發現的，當時它正在積極利用一個Drupal遠程代碼執行漏洞（CVE-2018-7600）。對最新版本的分析表明，它已經升級為能夠利用存在於GPON（CVE-2018-10561和 CVE-2018-10562 ）、JBOSS（CVE-2007-1036）和DD-WRT中的漏洞；

Mirai-自2016年9月開源以來，這個殭屍網路已被數百個網路犯罪集團使用，包括這次360Netlab也觀察到，不止一個團體正在積極利用 GPON漏洞來「武裝」他們的Mirai變種；

Hajime-這是一個在2016年10月首次被披露的殭屍網路，在最新版本的代碼中同樣增加了對 GPON漏洞的利用，目標是成千上萬的家庭路由器；

Satori-另一個臭名昭著的殭屍網路，它在2017年12月份的短短12個小時里劫持了超過26萬台設備。現在，它也被發現增加了對 GPON漏洞的利用。

儘管發現GPON漏洞的VPN Mentor公司已經向路由器製造商報告了漏洞細節，但該公司尚未發布針對這兩個漏洞的任何解決方法。更有安全研究人員認為，沒有任何補丁處於開發中，這讓數百萬路由器用戶完全暴露給了這些殭屍網路運營商。

更糟糕的是，關於GPON漏洞的一個概念驗證（PoC）已經向公眾開放，這使得開發利用更加容易，即使是沒有技術的黑客。

因此，在該公司發布官方補丁之前，我們建議用戶可以通過禁用遠程管理許可權和使用防火牆阻止來自公共互聯網的外部訪問，從而保護自己的設備。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！