阿根廷发现针对ZyXEL设备的Mirai僵尸网络新变种

上周，研究人员注意到，在不到一天的时间里，来自阿根廷的数十万个独特IP地址的流量扫描端口2323和23增加了。

目标端口扫描正在积极寻找ZyXEL Communications使用两种默认telnet凭据组合制造的易受攻击的互联网连接设备，管理员/中心1NK和管理员/QwestM0dem，获取目标设备的根权限。
研究人员认为（而不是“非常有信心”）这项正在进行的活动是新Mirai变体的一部分，该变体已升级，以利用ZyXEL PK5001Z调制解调器中新发布的漏洞（识别为CVE-2016-10401）。

“ZyXEL PK5001Z设备将zyad5001作为su（超级用户）密码，这使得远程攻击者在已知非root帐户密码（或ISP部署的这些设备中存在非root默认帐户）的情况下更容易获得root访问权限，”漏洞描述写道。

Mirai是同一个物联网僵尸网络恶意软件，去年它对Dyndns发起了大规模DDoS攻击，使世界上一些最大的网站瘫痪，包括Twitter、Netflix、亚马逊、Slack和Spotify。

2016年10月，有人公开发布其源代码后，基于Mirai的攻击突然增多。目前，有几种Mirai僵尸网络变种攻击物联网设备。

公开任何恶意软件的源代码的最大威胁是，它可能允许攻击者根据自己的需要和目标，使用新披露的漏洞对其进行升级。

Imperva安全研究员迪玛·贝克曼（Dima Beckerman）告诉《黑客新闻》：“对于发现新物联网漏洞的攻击者来说，很容易将其整合到现有的Mirai代码中，从而发布新的变体”。

“Mirai使用默认的IoT设备凭据进行传播。新的变体将更多设备添加到此列表中。不过，我们无法确定代码中还实施了哪些其他更改。将来，我们可能会看到Mirai变体的一些新攻击方法”。

这不是Mirai僵尸网络第一次瞄准ZyXEL制造的互联网连接设备。就在一年前，数以百万计的Zyxel路由器被发现容易受到Mirai利用的一个关键远程代码执行漏洞的攻击。

保护（易于黑客攻击的）互联网连接设备的安全

1.更改连接设备的默认密码：如果您在家或工作中拥有任何连接互联网的设备，请更改其默认凭据。牢记Mirai恶意软件扫描默认设置。

2.通过Telnet禁用远程管理：进入路由器设置并禁用远程管理协议，特别是通过Telnet，因为这是一种允许一台计算机从远程位置控制另一台计算机的协议。在之前的Mirai攻击中也曾使用过它。

3.检查软件更新和补丁：最后但并非最不重要，始终使用最新固件更新和补丁更新与internet连接的设备和路由器。