黑客正在利用GPON路由器中的一个新的零日漏洞

奇虎360 Netlab的安全研究人员警告称，至少有一家僵尸网络运营商利用了韩国DASAN Zhone Solutions公司生产的千兆无源光网络（GPON）路由器中的一个新的零日漏洞。

这款名为TheMoon的僵尸网络于2014年首次出现，自2017年以来，在其后续版本中增加了至少6个物联网设备漏洞，现在它利用了Dasan GPON路由器的一个新的未公开的零日漏洞。
Netlab研究人员在两个不同版本的GPON home router上成功测试了新的攻击负载，但他们没有透露负载的详细信息，也没有公布新的零日漏洞的任何进一步细节，以防止更多攻击。

Moon僵尸网络在2015-2016年被发现利用远程代码执行（RCE）漏洞向大量华硕和Linksys路由器模型传播恶意软件后，成为头条新闻。

其他针对GPON路由器的僵尸网络

本月早些时候，至少有五个不同的僵尸网络被发现利用上个月披露的GPON家庭路由器中的两个关键漏洞，最终允许远程攻击者完全控制该设备。

正如我们在上一篇帖子中详细介绍的，5个僵尸网络家族，包括Mettle、Muhstik、Mirai、Hajime和Satori，都是利用GPON路由器中的身份验证旁路（CVE-2018-10561）和根RCE（CVE-2018-10562）缺陷被发现的。

漏洞细节公布后不久，一项针对GPON路由器漏洞的有效概念验证（PoC）攻击向公众开放，使得即使是不熟练的黑客也更容易利用该漏洞。

在另一项研究中，Trend Micro的研究人员在墨西哥发现了类似Mirai的扫描活动，目标是使用默认用户名和密码的GPON路由器。

Trend Micro的研究人员说：“与之前的活动不同，这种新扫描程序的目标是分布的”。“然而，根据我们在数据中发现的用户名和密码组合，我们得出结论，目标设备仍然由使用默认密码的家庭路由器或IP摄像头组成”。

如何保护您的Wi-Fi路由器免受黑客攻击

此前披露的两个GPON漏洞已上报给DASAN，但该公司尚未发布任何修复程序，这让数百万客户对这些僵尸网络运营商敞开了大门。

因此，在路由器制造商发布正式补丁之前，用户可以通过禁用远程管理权限和使用防火墙防止外部访问公共互联网来保护他们的设备。

对易受攻击的路由器进行这些更改将仅限制对Wi-Fi网络范围内的本地网络的访问，从而通过消除远程攻击者有效减少攻击面。

一旦有新的细节，我们将尽快更新本文。敬请期待！