最近發現的殭屍網絡已經控制了一系列製造商製造的驚人的10萬個家庭和小型辦公室路由器,主要是通過利用一個關鍵的漏洞,這個漏洞在被發現的五年多之後仍然沒有得到解決。
據報道大規模感染的 Netlab 360的研究人員將殭屍網絡稱為BCMUPnP_Hunter。該名稱是對易受攻擊設備中使用的Broadcom芯片組內置的通用即插即用協議的錯誤實現的引用。2013年1月發佈的一份諮詢報告警告稱,這一嚴重漏洞影響了來自眾多製造商的路由器,包括Broadcom,華碩,思科,TP-Link,Zyxel,D-Link,Netgear和US Robotics。Netlab 360的這一發現表明許多易受攻擊的設備可以在沒有通過其他方式修補或鎖定的情況下運行。
上週的報告記錄了116種不同類型的設備,這些設備構成了來自不同製造商群體的殭屍網絡。一旦受到攻擊者的控制,路由器就會連接到各種眾所周知的電子郵件服務。這強烈表明受感染的設備被用於發送垃圾郵件或其他類型的惡意郵件。
通用即插即用
UPnP旨在使計算機,打印機,電話和其他設備能夠輕鬆地使用允許它們自動發現彼此的代碼連接到本地網絡。該協議通常消除了在第一次連接時確定如何配置設備的麻煩。但是,正如研究人員多年來警告的那樣,UPnP 經常在使用它的網絡中打開嚴重漏洞。在某些情況下,UPnP錯誤會導致設備響應從網絡外部發送的發現請求。黑客可以通過允許他們控制設備的方式利用這些弱點。UPnP的弱點還可以讓黑客繞過防火牆保護。
根據Netlab 360,使用BCMUPnP_Hunter感染設備的代碼需要執行各種步驟,這使得跟蹤其進度成為一項挑戰。正如上週的帖子解釋的那樣:殭屍網絡與潛在目標之間的互動需要多個步驟; 它從tcp port 5431目標掃描開始,然後繼續檢查目標UDP port 1900並等待目標發送適當的易受攻擊的URL。在獲得正確的URL之後,攻擊者需要另外4個數據包交換來確定shellcode在內存中的執行起始地址的位置,以便可以製作正確的利用有效負載並將其提供給目標。
使用Netlab 360列出的116種型號中的任何一種的人應立即檢查補丁是否可用。如果沒有可用的修復程序,則應更換易受攻擊的設備。使用任何路由器的人應該強烈考慮禁用UPnP,除非啟用它並且用戶願意為其創建的增加的攻擊面負責。目前尚不清楚如何對感染BCMUPnP_Hunter的路由器進行消毒。通常,只需重新啟動受感染的路由器即可。如果我們對此問題有更清晰的認識,我們會更新這篇文章。
閱讀更多 luoxi10449892 的文章
