Истина где-то ниже
Ноябрь 9, 2018

Ботнет на роутерах атакует брешь 5-летней давности

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

В Интернете объявилась новая бот-сеть, которая быстро разрастается за счет уязвимых роутеров. На настоящий момент выявлены сотни тысяч зараженных устройств, используемых, по всей видимости, для рассылки спама.

Согласно данным телеметрии 360Netlab, этот ботнет впервые заявил о себе в сентябре. Исследователи назвали его BCMUPnP_Hunter, так как он построен на роутерах, использующих набор сетевых протоколов UPnP в реализации Broadcom. Загрузка ботов осуществляется через эксплойт хорошо известной уязвимости, обнаруженной в 2013 году.

Согласно описанию, эта критическая брешь позволяет удаленно и без аутентификации выполнить произвольный код в системе с привилегиями root. Для ряда роутеров были выпущены новые прошивки, однако UPnP-стек Broadcom использует множество производителей, и миллионы устройств остались непропатченными.

Ботнет BCMUPnP_Hunter, по словам исследователей, представляет собой самособираемую прокси-сеть. Профессионально написанный бот проводит сканирование TCP-портов 5431, потом проверяет UDP-порт 1900 потенциальной жертвы и ждет ответа, говорящего о наличии либо отсутствии искомой уязвимости.

Результаты передаются на командный сервер, и в случае пригодности мишени на устройство отдаются эксплойт и шелл-код, скачивающий основную полезную нагрузку. Последняя состоит из зонда уязвимости Broadcom UPnP и сетевого модуля прокси-доступа.

Анализ показал, что в настоящее время BCMUPnP_Hunter используется для проксирования трафика, направляемого на почтовые серверы Outlook, Hotmail и Yahoo. Исследователи полагают, что операторы ботнета используют его для сокрытия источников спама — такой пример уже был, причем совсем недавно.

Вредоносные прокси-сети, составленные из роутеров, — тоже не новость, достаточно вспомнить ботнет UPnProxy, о котором в начале текущего года рассказали эксперты Akamai Technologies. Однако их находке далеко до BCMUPnP_Hunter: новичок растет быстро, проводя поиск открытых портов 5431 раз в три дня или даже чаще; на настоящий момент 360Netlab выявила 3,37 млн связанных с ботнетом уникальных IP-адресов, хотя не исключено, что многие из них — дубли, так как IP роутера может меняться.

Реальное количество зараженных устройств, по оценке экспертов, измеряется сотнями тысяч: в среднем они ежедневно фиксируют 100 тыс. ботов, выполняющих сканы. Жертвы заражения довольно равномерно распределены по всему миру, но больше всего их в Индии, Китае и США. В ходе наблюдений исследователям удалось идентифицировать 116 моделей инфицированных устройств, в том числе роутеры производства ADB, Broadcom, D-Link, Digicom, Linksys/Cisco, NetComm, UTStarcom и ZyXEL.

Источник: https://threatpost.ru/rapidly-growing-router-botnet-takes-advantage-of-5-year-old-flaw/29050/