发现5个利用未修补的GPON路由器缺陷的强大僵尸网络

在GPON路由器的两个关键漏洞被披露后的短短10天内，至少有5个僵尸网络家族被发现利用这些漏洞构建了一支拥有数百万台设备的大军。

总部位于中国的网络安全公司奇虎360 Netlab的安全研究人员已经发现了5个僵尸网络家族，包括Mettle、Muhstik、Mirai、Hajime和Satori，他们在野外利用GPON漏洞。

正如我们在上一篇文章中所详细介绍的，韩国DASAN Zhone Solutions公司生产的支持千兆位的无源光网络（GPON）路由器易受身份验证旁路（CVE-2018-10561）和根RCE（CVE-2018-10562）缺陷的攻击，这些缺陷最终允许远程攻击者完全控制设备。
漏洞细节公布后不久，360 Netlab研究人员警告称，威胁行为人利用这两个漏洞劫持并将易受攻击的路由器添加到他们的僵尸网络恶意软件网络中。

现在，研究人员发布了一份新的报告，详细介绍了下面提到的5个僵尸网络家族积极利用这些问题：

• 勇气僵尸网络， 该僵尸网络的命令和控制面板以及扫描程序托管在越南的一台服务器上。攻击者一直在利用开源Mettle攻击模块在易受攻击的路由器上植入恶意软件。
• 音乐播放器， 这个僵尸网络最初是在上周发现的，当时它正在积极利用一个关键的Drupal漏洞，现在最新版本的Muhstik已经升级，以利用GPON漏洞，以及JBOSS和DD-WRT固件中的漏洞。
• Mirai僵尸网络（新变种）， GPON漏洞还被集成到臭名昭著的Mirai IoT僵尸网络的几个新变种（由不同的黑客组织操作）中，该僵尸网络首次出现并在2016年开源，此前它被用于发起创纪录的DDoS攻击。
• 哈吉姆僵尸网络， 另一个臭名昭著的物联网僵尸网络Hajime也被发现将GPON漏洞添加到其代码中，以数十万个家庭路由器为目标。
• Satori僵尸网络，去年12小时内感染26万台设备的臭名昭著的僵尸网络Satori（也称为Okiru）也被观察到在其最新变种中包含GPON漏洞。

vpnMentor的研究人员发现了GPON漏洞，他们已经向路由器制造商报告了这些问题，但该公司尚未发布任何解决问题的补丁，研究人员也不认为任何补丁正在开发中，这让数百万客户对这些僵尸网络运营商敞开了大门。
更糟的是什么？一个针对GPON路由器漏洞的有效概念验证（PoC）漏洞已经向公众开放，使得即使是不熟练的黑客也更容易利用该漏洞。

因此，在该公司发布正式补丁之前，用户可以通过禁用远程管理权限和使用防火墙防止外部访问公共互联网来保护他们的设备。

对易受攻击的路由器进行这些更改将仅限制对Wi-Fi网络范围内的本地网络的访问，从而通过消除远程攻击者有效减少攻击面。

如果您不确定这些设置，vpnMentor还提供了一个简单的在线工具，可以代表您自动修改路由器设置，但我们不鼓励用户在其设备上运行任何第三方脚本或修补程序。

相反，用户应该等待路由器制造商的正式修复，或者在可能的情况下手动应用更改。