Исследователи из итальянской ИБ-компании VoidSec около года наблюдают брутфорс-атаки на сайты, использующие CMS-платформу WordPress. Как со слов экспертов сообщает Softpedia, источниками новой агрессии являются в основном маршрутизаторы и модемы линейки PBX производства Aethra Telecommunications.

Первые попытки взлома учетных записей администратора WordPress методом перебора ходовых пар «логин – пароль» были зафиксированы в феврале; судя по записям в логах, злоумышленники оперировали ботнетом. Расследование показало, что вредоносный трафик исходит с тысяч IP-адресов, сосредоточенных у шести интернет-провайдеров, четыре из которых имеют итальянскую прописку.

Как оказалось, корпоративные клиенты этих телеоператоров используют в основном роутеры и модемы итальянского вендора Aethra, причем в большинстве случаев — с дефолтными идентификаторами. Дополнительный анализ выявил также ряд уязвимостей в веб-интерфейсе этих устройств: отраженные XSS, CSRF и CORS (обход политики одного источника через межсайтовый обмен ресурсами), возможный при поддержке HTML5. Наличие таких уязвимостей позволяет атакующему установить контроль над устройством даже при смене логина и пароля, заданных производителем.

Чтобы определить примерные размеры ботнета, используемого в атаках против WordPress, исследователи просканировали Интернет с помощью Shodan. Скан выявил около 12 тыс. подключенных к Сети Aethra-устройств, из которых более 10,8 тыс. работают на территории Италии. При этом порядка 8 тыс. устройств были определены как роутеры и модемы линейки PBX — модели BG1242W, BG8542W и пр., замеченные в брутфорс-атаках.

VoidSec связалась с BT Italia, крупнейшим телеоператором страны, еще в феврале; тот подтвердил наличие проблем, затем по какой-то причине перестал отвечать на запросы. По данным исследователей, Aethra-роутеры, работающие в сетях BT Italia, до сих пор уязвимы к абьюзам.

Другому итальянскому провайдеру, Fastweb, отчет был направлен 11 декабря; новая прошивка для его Aethra-устройств (оператор использует свой, кастомный вариант) была выпущена за семь рабочих дней. VoidSec отмечает, что за этим оператором числятся порядка 40 тыс. модемов и роутеров производства Aethra и лишь 4% из них используют дефолтные идентификаторы. На этой базе можно создать совокупный трафик от 1,7 до 17 Гбит/с и использовать его для DDoS-атаки.

По данным VoidSec, брутфорс-атаки против WordPress с данного ботнета продолжаются и по сей день, хотя и в меньшем объеме.

Категории: Вредоносные программы, Главное, Уязвимости