查看原文
其他

一次POC漏洞利用代码公布引发的“血案”

2017-11-28 E小编 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全11月28日讯 上周,安全专家发现约10万IP在不到三天时间疯狂扫描存在漏洞的ZyXEL(合勤) PK5001Z路由器,断定新型Mirai变种正在快速传播。

三天之内十万个IP疯狂扫描

奇虎360网络安全研究院(Netlab)安全研究员表示,发布在公共漏洞数据库中的PoC漏洞利用代码是这个僵尸网络活动激增的根本原因。PoC代码发布时间为10月31日,并触发了ZyXEL PK5001Z路由器中的漏洞——CVE-2016-10401(2016年1月被公开)。ZyXEL PK5001Z路由器使用的硬编超级用户密码(zyad5001)能用来提权至Root权限。

360网络安全研究院指出,自2017-11-22 11:00开始,他们发现端口2323、端口23的扫描流量猛增,近10万个来自阿根廷的IP在进行疯狂扫描。扫描活动于2017-11-23白天达到峰值。

经调查后,研究人员认为这是一个新型Mirai变种。360网络安全研究院通过蜜罐发现,最近有两个Telnet凭证被频繁使用:

  • admin/CentryL1nk;

  • admin/QwestM0dem。

PoC代码使用这两个凭证登录了远程ZyXEL设备,然后使用硬编超级用户密码取得Root权限。

蜜罐发现的时间曲线与360NetworkScan Mon 系统扫描曲线比较一致,360NetworkScan Mon 系统与蜜罐发现的滥用IP来源存在重合:

  • admin/CentryL1nk :  1125个IP中748个重合,重合率66.5%

  • admin/QwestM0dem :  1694个IP中有1175个重合,重合率69.4%。

这说明,由10万设备组成的僵尸Mirai僵尸网络正在搜索存在漏洞的ZyXEL设备。其中6.57万台“肉鸡”位于阿根廷,因为当地ISP Telefonica为设备提供了公开PoC中包含的默认凭证。安全研究人员Troy Mursch(特洛伊·莫尔什么)证实,大多数扫描器IP来自阿根廷Telefonica的网络。

影响范围

ZyXEL(合勤)为台湾地区的企业,为全球网络设备及解决方案供应商,向企业用户提供DSL 路由器等设备。因此台湾地区很可能受此次漏洞影响。

使用ZyXEL PK5001Z路由器的用户不用过分紧张。Mirai僵尸程序不具有持续机制,受感染的设备重启时就能根除该程序。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1694667662.shtml

推荐阅读:

▼点击“阅读原文” 查看更多精彩内容

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存