Неизвестные злоумышленники нацелились на сайты WordPress и используют взломанные роутеры для проведения брутфорс-атак и подбора пароля администратора. В случае успеха хакеры полностью перехватывают управление уязвимым сайтом.

Большая сеть из скомпрометированных роутеров помогает киберпреступникам увеличить эффективность атаки и распространить ее на тысячи IP-адресов одновременно, обходя средства защиты вроде черных списков и файрволов.

Компания WordFence, специализирующаяся на защите сайтов WordPress, выявила, что злоумышленники пользуются уязвимостью в протоколе удаленного администрирования роутеров TR-069. Послав вредоносный запрос на порт 7547 роутера, хакеры перехватывают контроль над устройством. Количество попыток подбора пароля для каждого сайта довольно низкое, что позволяет атаке оставаться незамеченной.

Размер ботнета из роутеров пока неизвестен экспертам — возможно, таких ботнетов несколько. В WordFence выяснили, что 6,7% всех атак на сайты WordPress в марте были осуществлены с роутеров с открытым портом 7547. Также специалисты выяснили, что из 28 крупнейших источников атак на уровне провайдера в 14 задействуется большое количество роутеров с открытым портом 7547. Эти роутеры — в основном ZyXEL ZyWALL 2, имеющие уязвимости, в том числе в реализации протокола TR-069.

Это уже не первый случай использования уязвимых роутеров ZyXEL в ботнетах: в конце прошлого года хакер пытался скомпрометировать миллион роутеров, подключенных к сетям крупных телеоператоров в Германии и Великобритании, и добавить их к ботнету Mirai — известному IoT-ботнету, нарушившему работу одного из крупнейших DNS-провайдеров в США. Хакера задержала полиция Великобритании.

Как считают специалисты, провайдеры волевым решением могли бы пресечь подобные атаки, закрыв порт 7547 в роутерах. Но для операторов удобно оставлять его открытым, так как технические специалисты используют его для удаленного администрирования и технической поддержки пользователей, которые в большинстве случаев не подкованы в технических вопросах. Таким образом, провайдеры готовы поступиться безопасностью, но не готовы пожертвовать удовлетворенностью клиентов. Есть и другое решение — фильтровать трафик, поступающий на порт 7547, пропуская лишь те запросы, которые поступают с собственных ACS-серверов провайдера.

Общая незащищенность домашних роутеров и недостаточное внимание к их безопасности играют на руку киберпреступникам, которые активно включают роутеры в ботнеты для проведения мощных DDoS-атак или взлома сайтов.

Категории: Главное, Уязвимости, хакеры

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *