不法分子利用兩個新的零日漏洞發動DDoS攻擊

網絡公司Akamai的研究人員表示，不法分子正在大肆利用兩個新的零日漏洞，將眾多路由器和錄像機納入到惡意僵尸網絡中，用于分布式拒絕服務（DDoS）攻擊。

據Akamai的研究文章顯示，這兩個漏洞之前都不為制造商和整個安全研究界所知，當受影響的設備使用默認管理憑據時，它們允許攻擊者遠程執行惡意代碼。身份不明的攻擊者一直在利用零日漏洞攻擊設備感染Mirai。

Mirai是一款功能強大的開源軟件，可以將路由器、攝像頭及其他類型的物聯網設備變成僵尸網絡的一部分，從而發動規模難以想象的DDoS攻擊。

Akamai的研究人員表示，其中一個受到攻擊的零日漏洞存在于一款或多款型號的網絡視頻錄像機中；另一個零日漏洞存在于為酒店和住宅制造的基于電源插座的無線局域網路由器。這款路由器由一家日本制造商銷售，該制造商生產多款交換機和路由器。被利用的路由器功能是很常見的一項功能，研究人員暫無法排除它在這家制造商銷售的多款路由器型號中被利用的可能性。

Akamai表示，目前已經向兩家制造商報告了這些漏洞，其中一家已經保證下個月將發布安全補丁。在修復措施到位以防止零日漏洞被更廣泛地利用之前，它不會透露設備或制造商的具體名稱。

Akamai的文章提供了一系列用于攻擊的文件哈希值、IP和域名地址。網絡攝像機和路由器的用戶可以使用這些信息來查看其網絡上的設備是否已成為攻擊目標。

遠程代碼執行使用一種名為命令注入的技術，該技術首先要求攻擊者使用高危設備中配置的憑據對自己進行身份驗證。身份驗證和注入使用標準的POST請求來執行。

Akamai的研究人員Larry Cashdollar在一封電子郵件中寫道：

“這些設備通常不允許通過管理接口執行代碼，這就是為什么需要通過命令注入獲得RCE。

由于攻擊者需要先進行身份驗證，所以他們必須知道一些有效的登錄憑據。如果設備使用的是易于猜測的登錄憑據，比如admin:password或admin:password1，要是有人擴展了要嘗試的憑據列表，這些設備也面臨風險。”

他表示已通知了兩家制造商，但到目前為止，只有一家承諾發布補丁（預計下個月發布）。來自第二家制造商的修復狀態目前不得而知。

據不完整的互聯網掃描結果顯示，至少有7000個易受攻擊的設備受到影響，而且實際數量可能更多。

Mirai首次引起公眾的廣泛關注是在2016年，當時一個僵尸網絡（指由敵對攻擊者控制的受感染設備組成的網絡）以當時創紀錄的每秒620千兆比特的DDoS攻擊搞垮了某安全新聞網站。

除了強大功能外，Mirai脫穎而出還有其他原因。首先，它征用的設備是一大批路由器、安全攝像頭及其他類型的物聯網設備，在此之前這一幕基本上前所未見。其次，底層的源代碼迅速可以免費獲得。

很快，Mirai被用于更大規模的DDoS攻擊中，并針對游戲平臺和為這些平臺提供服務的互聯網服務提供商（ISP）。從那時起，Mirai及其他物聯網僵尸網絡就成為了互聯網生活的一部分。

Akamai發現的攻擊中使用的Mirai系列主要是一種名為JenX的舊威脅。然而，它已被修改，使用比平時少得多的域名連接到指揮和控制服務器。一些惡意軟件樣本也顯示與另一個名為hailBot的Mirai變體有關。

Akamail觀察到的零日攻擊中使用的代碼與一家安全公司在5月份觀察到的針對俄羅斯新聞網站的DDoS攻擊幾乎如出一轍。下圖顯示了橫向比較：

圖1.10月（左）和4月（右）的代碼橫向比較

利用零日漏洞的攻擊載荷是：

alert tcp any any->any any(msg:"InfectedSlurs 0day exploit#1 attempt";content:"lang=";content:"useNTPServer=";content:"synccheck=";content:"timeserver=";content:"interval=";content:"enableNTPServer=";sid:1000006;)

和alert tcp any any->any any(msg:"InfectedSlurs 0day exploit#2 attempt";content:"page_suc=";content:"system.general.datetime=";content:"ntp.general.hostname=";

pcre:"ntp.general.hostname=";content:"ntp.general.dst=";content:"ntp.general.dst.adjust=";content:"system.general.timezone=";content:"system.general.tzname=";

content:"ntp.general.enable=";sid:1000005;)

如果擔心自己可能成為這些漏洞的攻擊目標，可以使用Snort規則（https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/snort-rules/）和Akamail發布的攻陷指標來檢測和阻止攻擊。目前，還沒有辦法能識別出易受攻擊的具體設備或這些設備的制造商。