数以千计的路由器和摄像头容易受到恶意僵尸网络的新 0day 攻击

网络公司 Akamai 的研究人员周四表示，不法分子正在积极利用两个新的0day漏洞，将路由器和录像机引入用于分布式拒绝服务攻击的恶意僵尸网络。

根据 Akamai 的一篇博客，这两个0day漏洞以前对其制造商和整个安全研究社区来说都是未知的，当受影响的设备使用默认管理凭据时，这两个漏洞允许远程执行恶意代码。

未知攻击者一直在利用0day漏洞来破坏设备，以便它们能够感染 Mirai，Mirai 是一款强大的开源软件，使路由器、摄像头和其他类型的物联网设备成为能够发起攻击的僵尸网络的一部分。Mirai僵尸网络发起的 DDoS 攻击规模以前难以想象。

Akamai 研究人员表示，受到攻击的0day漏洞之一存在于一种或多种网络录像机型号中。另一个0day漏洞存在于“为酒店和住宅应用构建的基于插座的无线 LAN 路由器”中。

该路由器由一家日本制造商销售，该制造商“生产多种交换机和路由器”。被利用的路由器功能是“非常常见的一个”，研究人员不能排除它在制造商销售的多种路由器型号中被利用的可能性。

Akamai 表示，已向两家制造商报告了这些漏洞，其中一家制造商已保证将于下个月发布安全补丁。Akamai 表示，在修复措施到位以防止0day漏洞被更广泛地利用之前，它不会确定具体设备或制造商。

“尽管这些信息有限，但我们认为我们有责任提醒社区注意这些 CVE 在野外的持续利用情况。负责任地披露信息以帮助防御者与过度分享可能导致成群威胁行为者进一步滥用的信息之间只有一线之隔。”

Akamai 帖子提供了攻击中使用的大量文件哈希值以及 IP 和域地址。网络摄像机和路由器的所有者可以使用此信息来查看其网络上的设备是否已成为攻击目标。

远程代码执行使用一种称为命令注入的技术，该技术首先要求攻击者使用易受攻击的设备中配置的凭据来验证自身身份。身份验证和注入是使用标准 POST 请求进行的。

Akamai 研究员 Larry Cashdollar 在一封电子邮件中写道：

这些设备通常不允许通过管理界面执行代码。这就是为什么需要通过命令注入来获取RCE。

因为攻击者需要首先进行身份验证，所以他们必须知道一些有效的登录凭据。如果设备使用易于猜测的登录名（例如 admin:password 或 admin:password1），那么如果有人扩展凭据列表进行尝试，这些登录名也可能面临风险。

他表示，两家制造商都已收到通知，但迄今为止只有其中一家承诺发布补丁，预计将于下个月发布。第二个制造商的修复状态目前未知。

Cashdollar 表示，不完整的互联网扫描显示至少有 7,000 个易受攻击的设备。受影响设备的实际数量可能更多。

Mirai 于 2016 年首次引起公众广泛关注，当时僵尸网络（即由敌对威胁行为者控制的受感染设备组成的网络）以当时创纪录的 620 GB 每秒的DDoS攻击摧毁了安全新闻网站KrebsOnSecurity。

除了强大的火力之外，Mirai 的脱颖而出还有其他原因。首先，它征用的设备是路由器、安全摄像头和其他类型的物联网设备的集合，这在此之前基本上是看不见的。另一方面，底层源代码很快就可以免费获得。

很快，Mirai 就被用于针对游戏平台和为其提供服务的 ISP 的更大规模的 DDoS 攻击。从那时起，Mirai 和其他物联网僵尸网络就已成为互联网生活的一部分。

Akamai 发现的攻击中使用的 Mirai 僵尸网络恶意软件主要是一种名为 JenX 的较旧变种。不过，它已被修改为使用比平常少得多的域名来连接到命令和控制（C2）服务器。一些恶意软件样本还显示与称为“HailBot”的独立 Mirai 变体有关。

Akamail 观察到的0day攻击（包括冒犯性种族主义诽谤）中使用的代码与一家中国安全公司 5 月份观察到的针对俄罗斯新闻网站的 DDoS 攻击中使用的代码几乎相同。下图显示了并排比较。

研究人员尚未从 NVR 供应商那里获得据信受影响的设备型号和版本的完整报告。据估计，NVR供应商生产了大约100种NVR / DVR / IP监控摄像机产品 ——很难确切知道哪些受到影响，哪些没有受到影响。

封面来源于网络，如有侵权请联系删除