最近发现的僵尸网络已经控制了一系列制造商制造的惊人的10万个家庭和小型办公室路由器,主要是通过利用一个关键的漏洞,这个漏洞在被发现的五年多之后仍然没有得到解决。
据报道大规模感染的 Netlab 360的研究人员将僵尸网络称为BCMUPnP_Hunter。该名称是对易受攻击设备中使用的Broadcom芯片组内置的通用即插即用协议的错误实现的引用。2013年1月发布的一份咨询报告警告称,这一严重漏洞影响了来自众多制造商的路由器,包括Broadcom,华硕,思科,TP-Link,Zyxel,D-Link,Netgear和US Robotics。Netlab 360的这一发现表明许多易受攻击的设备可以在没有通过其他方式修补或锁定的情况下运行。
上周的报告记录了116种不同类型的设备,这些设备构成了来自不同制造商群体的僵尸网络。一旦受到攻击者的控制,路由器就会连接到各种众所周知的电子邮件服务。这强烈表明受感染的设备被用于发送垃圾邮件或其他类型的恶意邮件。
通用即插即用
UPnP旨在使计算机,打印机,电话和其他设备能够轻松地使用允许它们自动发现彼此的代码连接到本地网络。该协议通常消除了在第一次连接时确定如何配置设备的麻烦。但是,正如研究人员多年来警告的那样,UPnP 经常在使用它的网络中打开严重漏洞。在某些情况下,UPnP错误会导致设备响应从网络外部发送的发现请求。黑客可以通过允许他们控制设备的方式利用这些弱点。UPnP的弱点还可以让黑客绕过防火墙保护。
根据Netlab 360,使用BCMUPnP_Hunter感染设备的代码需要执行各种步骤,这使得跟踪其进度成为一项挑战。正如上周的帖子解释的那样:僵尸网络与潜在目标之间的互动需要多个步骤; 它从tcp port 5431目标扫描开始,然后继续检查目标UDP port 1900并等待目标发送适当的易受攻击的URL。在获得正确的URL之后,攻击者需要另外4个数据包交换来确定shellcode在内存中的执行起始地址的位置,以便可以制作正确的利用有效负载并将其提供给目标。
使用Netlab 360列出的116种型号中的任何一种的人应立即检查补丁是否可用。如果没有可用的修复程序,则应更换易受攻击的设备。使用任何路由器的人应该强烈考虑禁用UPnP,除非启用它并且用户愿意为其创建的增加的攻击面负责。目前尚不清楚如何对感染BCMUPnP_Hunter的路由器进行消毒。通常,只需重新启动受感染的路由器即可。如果我们对此问题有更清晰的认识,我们会更新这篇文章。
閱讀更多 luoxi10449892 的文章
