Эксплойт для 0-day в роутерах Huawei вышел в люди

30 декабря 2017 г., суббота

Код эксплойта, используемого IoT-ботом Satori, обнаружен в открытом доступе на Pastebin.com.

Код эксплойта, который использовался для загрузки IoT-ботов Satori на роутеры производства Huawei, стал достоянием общественности. Эксперты предупреждают, что злоумышленники не преминут воспользоваться публикацией для построения новых ботнетов с целью проведения DDoS-атак.

Вредоносный код, выложенный в открытый доступ на Pastebin.com, обнаружил Анкит Анубхав (Ankit Anubhav) из NewSky Security. Исследователь идентифицировал свою находку как эксплойт к CVE-2017-17215, который использовался для распространения модификации IoT-зловреда Mirai, известной как Satori и Mirai Okiru, и построения многотысячной бот-сети, центры управления которой были недавно отключены.

«Код попал в общий доступ, и это означает, что его теперь начнут использовать другие злоумышленники, — комментирует Майя Горовиц (Maya Horowitz), руководитель подразделения Check Point по исследованию интернет-угроз. — Можно предположить, что этот эксплойт будет поставлен на коммерческую основу и IoT-ботнеты, пытающиеся использовать разные уязвимости, начнут добавлять CVE-2017-17215 в свой арсенал».

Брешь нулевого дня CVE-2017-17215 в домашних роутерах HG532 от Huawei исследователи из Check Point идентифицировали в конце ноября. Вендор уже выпустил соответствующие обновления, отметив, что данную уязвимость можно эксплуатировать удаленно посредством подачи на порт 37215 вредоносных пакетов для внедрения команд, влекущих исполнение произвольного кода.

«Этот код стал известен сообществу «черных» хакеров, — пишет Анубхав в блоге NewSky. — Теперь его, как и прочие SOAP-эксплойты, слитые для безвозмездного пользования, начнут осваивать разные скрипт-кидди и киберпреступники».

Исследователь также отметил, что, по данным NewSky, эксплойт к CVE-2017-17215 реализован не только в Satori, но и в другом зловреде, ориентированном на IoT-устройства, — Brickerbot. «Этот эксплойт-код уже использовали два известных IoT-ботнета — Brickerbot и Satori, а теперь, когда он стал общедоступным, его начнут внедрять и в другие боты», — сетует Анубхав.

«Следует отметить, что эти роутеры [Huawei HG532] используются в основном в домашних сетях, владельцы которых не имеют обыкновения регистрироваться для входа в интерфейс и не всегда обладают специальными знаниями, — предупреждает Горовиц. — По этой причине стоит ожидать, что многие из таких устройств сохранят уязвимость. Производителям IoT-устройств давно пора понять, что обеспечение безопасности имеет первостепенное значение и эту ответственность нельзя перекладывать на плечи пользователей».

Threatpost