首页 > 科技 > IT业界 > 正文

华为设备的TR-064实施通过端口37215 暴露于广域网

文章来源:
字体:
发布时间:2018-01-01 12:30:59


  “这个代码现在已经被各种黑帽所知晓。就像之前免费向公众发布的SOAP漏洞一样,它将被各路黑客所使用,“Anubhav说。New SkySecurity周四发布了一个博客,概述了它发现零日代码的情况。

  根本原因是与SOAP有关的一个错误,这是许多物联网设备使用的协议,Anubhav说。早期的SOAP(CVE-2014-8361和TR-064)问题影响到不同的供应商,并被Mirai变种广泛使用。

  在CVE-2017-17215的情况下,这个零日利用了华为路由器如何使用通用即插即用(UPnP)协议和TR-064技术报告标准。TR-064是一个标准,可以很容易地将嵌入式UPnP设备添加到本地网络。

  研究人员写道:“在这种情况下,华为设备的TR-064实施通过端口37215(UPnP)暴露于广域网。UPnP框架支持可以执行固件升级操作的“DeviceUpgrade”。

  该漏洞允许远程管理员通过在DeviceUpgrade进程中注入shell元字符来执行任意命令。

  Check Point的研究人员写道:“执行这些操作之后,攻击返回默认的HUAWEIUPNP消息,并启动”升级“。

  有效载荷的主要目的是指示机器人使用手动制作的UDP或TCP数据包来进行攻击。

  华为表示,针对攻击的缓解措施包括配置路由器的内置防火墙,更改默认密码或在运营商侧使用防火墙。

  “请注意,这个路由器的用户主要是家庭用户,他们通常不登录他们的路由器的接口,我必须假设大多数设备是不会进行防御的。”霍洛维茨说。“我们迫切需要物联网设备制造商把安全作为重中之重,而不是让用户负责。”​​

  Mirai恶意软件中使用的被称为Satori的漏洞利用代码,在过去几周内被用来攻击成千上万的华为路由器。研究人员警告说,这些代码将很快成为商品,并通过僵尸网络(如Reaper或IOTrooper)在DDoS攻击中发挥作用。

  据雷锋网了解,来自New SkySecurity的研究人员Ankit Anubhav在本周一确定了Pastebin.com公开发布的代码。该代码是一个名为“Nexus Zeta”的黑客使用零日漏洞CVE-2017-17215传播了Mirai恶意软件的一个变种,称为Satori,也被称为Mirai Okiru。

  攻击代码已经被两个主要的物联网僵尸网络,Brickerbot和Satori使用,现在代码已经公开,它将被整合到不同的僵尸网络中。

  这种攻击已经被两种不同的物联网僵尸网络攻击,即Satori和Brickerbot所武装。

  “代码被公开意味着更多的黑客正在使用它,现在这种攻击已经成为商品,正被攻击者添加到他们的武器库中,“Check Point威胁情报组经理Maya Horowitz说。

  上周,Check Point在华为家庭路由器HG532中发现了一个漏洞(CVE-2017-17215),该漏洞被Nexus Zeta利用,来传播Mirai变种Mirai Okiru/Satori。此后,华为向客户发布了更新的安全通知,警告该漏洞允许远程攻击者发送恶意数据包到端口37215,在易受攻击的路由器上执行远程代码。