Злоумышленники оперативно отреагировали на информацию о серьезных уязвимостях в GPON-роутерах Dasan. Уже несколько дней киберпреступники эксплуатируют преданную гласности брешь в защите, собирая скомпрометированные устройства в мощный ботнет.

По информации исследователей из китайской лаборатории Qihoo 360, расположенный во Вьетнаме командный сервер направляет армию ботов на поиски устройств и берет их под свой контроль. Производитель оборудования пока никак не реагирует на информацию о серьезных ошибках в своей продукции.

Проблемы в системе безопасности популярных маршрутизаторов Dasan обнаружили эксперты vpnMentor. Специалисты выяснили, что для обхода системы аутентификации устройства достаточно лишь добавить строку ?images/ к его адресу в браузере. Используя эту уязвимость, злоумышленник может получить полный доступ к настройкам GPON-роутера.

Вторая ошибка связана с первой и позволяет удаленно осуществлять трассировку передаваемых данных и просматривать результаты на странице управления устройством.

Уязвимости CVE-2018-10561 и CVE-2018-10562 были зарегистрированы 30 апреля, одновременно с публикацией на сайте vpnMentor. Вопреки общепринятым принципам раскрытия подобной информации, исследователи не дали вендору времени на выпуск патча безопасности. Более того, специалисты призвали читателей активно распространять эти сведения в социальных сетях.

Реакция криминального сообщества не заставила себя долго ждать — первые атаки на оборудование Dasan зафиксировали спустя несколько дней после обнародования результатов исследования.

Роутеры корейского производителя особенно популярны в Мексике, Казахстане и Вьетнаме, где их установкой занимаются крупные интернет-провайдеры. На три страны приходится 980 тыс. уязвимых устройств. В России эта марка не столь популярна — поисковик Shodan находит чуть более 7,5 тыс. GPON-маршрутизаторов.

Бытовые роутеры не в первый раз попадают в сферу интересов киберпреступников. В конце марта 2018 года ботнет Hajime прицельно сканировал коммуникационные устройства MikroTik, пытаясь проэксплуатировать известную ошибку Chimay Red, а осенью 2017 года вредоносная сеть Mirai атаковала аргентинских пользователей модемов ZyXEL.

Ситуация осложняется беспечным отношением владельцев домашнего сетевого оборудования к вопросам безопасности. Как показало исследование британских специалистов, большинство пользователей бытовых роутеров не меняют настройки по умолчанию и не обновляют прошивки своих устройств.

Категории: Главное, Уязвимости, Хакеры