网络公司Akamai的研究人员表示,不法分子正在大肆利用两个新的零日漏洞,将众多路由器和录像机纳入到恶意僵尸网络中,用于分布式拒绝服务(DDoS)攻击。

据Akamai的研究文章显示,这两个漏洞之前都不为制造商和整个安全研究界所知,当受影响的设备使用默认管理凭据时,它们允许攻击者远程执行恶意代码。身份不明的攻击者一直在利用零日漏洞攻击设备感染Mirai。

Mirai是一款功能强大的开源软件,可以将路由器、摄像头及其他类型的物联网设备变成僵尸网络的一部分,从而发动规模难以想象的DDoS攻击。

Akamai的研究人员表示,其中一个受到攻击的零日漏洞存在于一款或多款型号的网络视频录像机中;另一个零日漏洞存在于为酒店和住宅制造的基于电源插座的无线局域网路由器。这款路由器由一家日本制造商销售,该制造商生产多款交换机和路由器。被利用的路由器功能是很常见的一项功能,研究人员暂无法排除它在这家制造商销售的多款路由器型号中被利用的可能性。

Akamai表示,目前已经向两家制造商报告了这些漏洞,其中一家已经保证下个月将发布安全补丁。在修复措施到位以防止零日漏洞被更广泛地利用之前,它不会透露设备或制造商的具体名称。

Akamai的文章提供了一系列用于攻击的文件哈希值、IP和域名地址。网络摄像机和路由器的用户可以使用这些信息来查看其网络上的设备是否已成为攻击目标。

远程代码执行使用一种名为命令注入的技术,该技术首先要求攻击者使用高危设备中配置的凭据对自己进行身份验证。身份验证和注入使用标准的POST请求来执行。

Akamai的研究人员Larry Cashdollar在一封电子邮件中写道:

“这些设备通常不允许通过管理接口执行代码,这就是为什么需要通过命令注入获得RCE。

由于攻击者需要先进行身份验证,所以他们必须知道一些有效的登录凭据。如果设备使用的是易于猜测的登录凭据,比如admin:password或admin:password1,要是有人扩展了要尝试的凭据列表,这些设备也面临风险。”

他表示已通知了两家制造商,但到目前为止,只有一家承诺发布补丁(预计下个月发布)。来自第二家制造商的修复状态目前不得而知。

据不完整的互联网扫描结果显示,至少有7000个易受攻击的设备受到影响,而且实际数量可能更多。

Mirai首次引起公众的广泛关注是在2016年,当时一个僵尸网络(指由敌对攻击者控制的受感染设备组成的网络)以当时创纪录的每秒620千兆比特的DDoS攻击搞垮了某安全新闻网站。

除了强大功能外,Mirai脱颖而出还有其他原因。首先,它征用的设备是一大批路由器、安全摄像头及其他类型的物联网设备,在此之前这一幕基本上前所未见。其次,底层的源代码迅速可以免费获得。

很快,Mirai被用于更大规模的DDoS攻击中,并针对游戏平台和为这些平台提供服务的互联网服务提供商(ISP)。从那时起,Mirai及其他物联网僵尸网络就成为了互联网生活的一部分。

Akamai发现的攻击中使用的Mirai系列主要是一种名为JenX的旧威胁。然而,它已被修改,使用比平时少得多的域名连接到指挥和控制服务器。一些恶意软件样本也显示与另一个名为hailBot的Mirai变体有关。

Akamail观察到的零日攻击中使用的代码与一家安全公司在5月份观察到的针对俄罗斯新闻网站的DDoS攻击几乎如出一辙。下图显示了横向比较:

图1.10月(左)和4月(右)的代码横向比较

利用零日漏洞的攻击载荷是:

alert tcp any any->any any(msg:"InfectedSlurs 0day exploit#1 attempt";content:"lang=";content:"useNTPServer=";content:"synccheck=";content:"timeserver=";content:"interval=";content:"enableNTPServer=";sid:1000006;)

和alert tcp any any->any any(msg:"InfectedSlurs 0day exploit#2 attempt";content:"page_suc=";content:"system.general.datetime=";content:"ntp.general.hostname=";

pcre:"ntp.general.hostname=";content:"ntp.general.dst=";content:"ntp.general.dst.adjust=";content:"system.general.timezone=";content:"system.general.tzname=";

content:"ntp.general.enable=";sid:1000005;)

如果担心自己可能成为这些漏洞的攻击目标,可以使用Snort规则(https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/snort-rules/)和Akamail发布的攻陷指标来检测和阻止攻击。目前,还没有办法能识别出易受攻击的具体设备或这些设备的制造商。