В минувшую среду исследователи из NewSky Security обнаружили, что кто-то активно строит ботнет на SOHO-роутерах. К ночи эта сеть уже включала более 18 тыс. боевых единиц. На следующий день находку подтвердили в Qihoo 360, Rapid7 и GreyNoise Intelligence.

Как оказалось, новый ботнет был построен посредством эксплуатации уязвимости CVE-2017-17215 в роутерах HG532 производства Huawei. Первые сканы порта 37215, через который возможен эксплойт, в NewSky зафиксировали утром 18 июля.

Комментируя находку для Bleeping Computer, эксперт NewSky Анкит Анубхав (Ankit Anubhav) поведал, что создатель ботнета связался с ним, чтобы похвастаться, и даже представил полный список IP-адресов своих жертв. Причины создания сети ботовод, который представился как Anarchy, не назвал; представителю Bleeping Computer тоже не удалось это выяснить в разговоре с этим субъектом.

Анубхав полагает, что Anarchy — это автор IoT-ботов Wicked, Sora, Owari и Omni, с которым он беседовал ранее. Кем бы ни был этот бахвал, специалистов по ИБ тревожит другая проблема: возможность построения многотысячного ботнета за один день.

Брешь CVE-2017-17215 хорошо известна, ее ранее использовали такие IoT-боты, как Satori, JenX, Owari, а рабочий эксплойт был слит в Сеть в конце прошлого года. Давно пора, казалось бы, пропатчить уязвимые устройства или хотя бы заблокировать входящие соединения на порту 37215 на уровне интернет-провайдера, однако новая находка показала, что безопасность роутеров класса SOHO по-прежнему находится в плачевном состоянии.

Как бы подтверждая этот вывод, Anarchy заявил Анубхаву, что собирается атаковать также CVE-2014-8361 — давнюю уязвимость в комплекте разработчика от Realtek, затронувшую сетевые устройства разных вендоров. Ее эксплойт осуществляется через порт 52869, и ИБ-исследователи уже отметили резкий рост соответствующих сканов.

Категории: Главное, Уязвимости