Un nouveau botnet a été détecté par les chercheurs en sécurité à la sécurité NewSky, avec leur découverte étant confirmée par des chercheurs de Qihoo 360 Netlab, Rapid7, et Greynoise. Le botnet en question a compromis plus 18,000 routeurs en une seule journée, et a été construit en tirant parti d'une faille de sécurité dans les routeurs Huawei HG532 connu sous le nom CVE-2017-17215.
Botnet Construit uniquement dans un jour par Anarchy Hacker
description officielle de CVE-2017-17215 va comme ceci: "Huawei HG532 avec certaines versions personnalisées a une vulnérabilité d'exécution de code à distance. Un attaquant authentifié peut envoyer des paquets malveillants au port 37215 pour lancer des attaques. Exploit réussi pourrait conduire à l'exécution à distance de code arbitraire".
Selon l'analyse, les scans de la faille a commencé en Juillet 18, du matin, via le port 37215.
L'auteur du botnet lui-même a appelé Anarchy et n'a pas fourni d'information pour expliquer pourquoi il a créé le botnet. Selon les chercheurs en sécurité, Anarchy peut être le même hacker qui utilisait le surnom méchant et qui se cache derrière certaines des variations de Mirai. Les variations ont été identifiées comme Wicked, Omni, et Owari et ont été activement impliqués dans des attaques DDoS.
Ce qui est surtout en ce qui concerne sur le botnet nouvellement découvert est la facilité qu'il a été construit avec, en utilisant une faille de sécurité de grande envergure qui a été utilisé auparavant pour des raisons similaires. La recherche indique que la référence CVE-2017-17215 a été déployé dans la création d'au moins deux versions du botnet Satori ainsi que quelques petits réseaux de zombies à base de Mirai. Prenons le botnet Satori qui est un botnet qui exploite une faille dans Huawei et un bug dans les dispositifs à base SDK Realtek.
Ces vulnérabilités ont été exploitées pour attaquer et infecter les ordinateurs. Le botnet lui-même a été écrit sur le dessus du botnet dévastateur Mirai IdO. Les opérateurs de Satori exploités seulement ces deux vulnérabilités pour cibler avec succès des centaines de dispositifs, les chercheurs ont rapporté plus tôt cette année.
La partie la plus alarmante de cette histoire est que le pirate Anarchy a construit le botnet en l'espace d'une seule journée. Apparemment, le pirate est pas prêt à arrêter encore et envisage de cibler une autre faille de sécurité, CVE-2014-8361, qui est une vulnérabilité dans les routeurs Realtek qui peut être exploité via le port 52869.
Voici le responsable de la vulnérabilité description: "Le service SOAP miniigd Realtek SDK permet aux attaquants distants d'exécuter du code arbitraire via une requête NewInternalClient artisanale".
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: