В минувший четверг канадская компания eSentire, специализирующаяся на предоставлении ИБ-услуг среднему бизнесу, зафиксировала всплеск эксплойт-активности, целями которой являлись роутеры 2750B производства D-Link и GPON-устройства от Dasan.

Как удалось установить, в атаках принимали участие порядка 3 тыс. IP-адресов. По всей видимости, злоумышленники использовали ботнет и стремились таким образом увеличить его численность.

«Успешная кампания по вербовке позволяет инициатору нарастить потенциал для проведения DDoS-атак и облегчает слежку за интернет-навигацией частных лиц, — пишет аналитик Киган Кеплингер (Keegan Keplinger) в блоге eSentire. — Ботнеты, построенные на взломанных роутерах, можно также предлагать как сервис другим злоумышленникам, — например тем, кто вымогает деньги под угрозой DDoS-атаки».

В ходе интервью Кеплингер отметил, что в четверг попытки эксплойта продолжались непрерывно в течение 10 часов. По данным eSentire, одной из атакуемых брешей являлась CVE-2018-10562, позволяющая удаленно внедрять команды; эта уязвимость свойственна серийным роутерам ZNID-GPON-25xx, продажей которых занимается Dasan Zhone Solutions.

Бреши CVE-2018-10562 и CVE-2018-10561 (обход аутентификации) в GPON-роутерах обнаружили исследователи из vpnMentor; по их оценке, этим уязвимостям подвержены около 1 млн домашних устройств. Первые попытки использования новых лазеек были зафиксированы в начале мая, через несколько дней после публикации vpnMentor. Вскоре эксплуатация этих брешей была поставлена на поток: за уязвимые GPON-устройства боролись сразу пять конкурирующих ботнетов. В конце мая эксперты Palo Alto Networks зафиксировали еще три таких же кампании, в которых были задействованы боты Gafgyt/BASHLITE и одна из многочисленных вариаций Mirai.

Попытки эксплойта, зафиксированные на этой неделе, по словам Кеплингера, исходили более чем с 3 тыс. IP-адресов, прописанных в Египте. Атаки проводились ковровым способом, никаких предпочтений в плане географии или сфер хозяйственной деятельности замечено не было.

«Судя по выборке из пакетов, передаваемых с разных IP, для размещения вредоносного кода используется единственный сервер, — пишет Кеплингер. — Результаты VirusTotal показали сходство с ботом Mirai».

Пользователям затронутых роутеров эксперт рекомендует заблокировать удаленный доступ, сменить дефолтные учетные данные и отключить UPnP.

Категории: Вредоносные программы, Главное, Уязвимости