Satori malver koristi 0-day propust za napade na Huawei rutere

Vesti, 25.12.2017, 01:00 AM

Iako su tvorci originalnog IoT malvera Mirai sada iza rešetaka, različite verzije zloglasng botneta su i dalje u igri zbog toga što je izvorni kod malvera prošle godine procureo na internetu.

Iza jedne od njih stoji takozvani "script kiddie", haker amater koji se skriva iza pseudonima Nexus Zeta. On je odgovoran za nastanak Satori bot mreže koja je uplašila bezbednosne istraživače zbog svog brzog rasta do veličine od nekoliko stotina hiljada kompomitovanih uređaja.

Satori je veoma virulentna verzija Mirai IoT malvera čiji je kod procureo u oktobru prošle godine.

Satori bot mreža koja je poznata i po imenu Okiru primećena je krajem novembra, kada su istraživači iz firme Check Point primetili stotine hiljada pokušaja napada na Huawei rutere u kojima je iskorišćavana ranjivost ovih uređaja, a početkom ovog meseca, malver je inficirao više od 200000 IP adresa za samo 12 sati.

Istraživači sumnjaju da napadač koristi 0-day ranjivost daljinskog pokretanja koda (CVE-2017-17215) u Huawei HG532 uređajima.

Satori skenira port 52869 i koristi CVE-2014-8361 propust (UPnP exploit koji utiče na Realtek, D-Link i druge uređaje) i skenira port 37215 i koristi 0-day (CVE-2017-17215) exploit koji pogađa Huawei HG532 rutere. Ova ranjivost je posledica činjenice da je implementacija TR-064, protokola za daljinsko upravljanje, na Huawei uređajima izložena na javnom internetu preko Universal Plug and Play protokola (UPnP) na portu 37215.

"TR-064 je dizajniran i namijenjen lokalnoj konfiguraciji mreže", navodi se u izveštaju Check Pointa. "Na primer, on omogućava inženjeru da implementira osnovnu konfiguraciju uređaja, nadogradnje firmwarea i još mnogo toga unutar interne mreže."

Pošto ova ranjivost omogućava udaljenim napadačima da pokrenu proizvoljne komande na uređaju, napadači su otkrili da koristeći ovu grešku mogu preuzeti i pokrenuti maliciozni kod na Huawei ruterima.

Napadi na Huawei rutere primećeni su u celom svetu, ali ih je najviše bilo u Argentini, Turskoj, Ukrajini, Venecueli, Peruu, SAD, Italiji, Nemačkoj i Egiptu.

Istraživači Check Pointa su "diskretno" obavestili Huawei o propustu u HG532 ruterima i čim su njihovi nalazi potvrđeni, kompanija je u petak objavila ažuriranja i upozorenje o tome. Ona je ponudila i neka rešena kojima bi se moglo zaobići ili sprečiti iskorišćavanje propusta, a koja uključuju korišćenje ugrađene funkcije zaštitnog zida, promenu podrazumevanih akreditiva uređaja i raspoređivanje zaštitnog zida na strani operatera.

Više o tome možete naći na sajtu kompanije Huawei.

Tokom prošlog vikenda, mnogi internet provajderi i kompanije koje se bave sajber bezbednošću intervenisali su i oborili glavne komandno-kontrolne servere bot mreže Satori, koja je u tom trenutku brojala između 500000 i 700000 botova.

Istraživači su uspeli da otkriju identitet tvorca bot mreže Satori, jer je on registrovao domene koje je koristio kao deo infrastrukture bot mreže, sa email adresom koju je koristio za nalog na hakerskom forumu - HackForums, na kome se susreću oni koji bi želeli da postanu hakeri. On je veoma retko bio aktivan na forumu, ali nekoliko njegovih postova otkrilo je istraživačima da je u pitanju amater.

Dan pre nego što je primećena aktivnost Satori bot mreže, Nexus Zeta je tražio pomoć u vezi Mirai malvera.

Nema dokaza da je Satori korišćen za DDoS napade proteklih nekoliko nedelja. Pitanje je da li će se Satori vratiti, a pored toga istraživače muči još jedna zagonetka: da li je Nexus Zeta sam otkrio kompleksan 0-day propust, ili ga je kupio od nekog drugog.