Een nieuw botnet is gedetecteerd door de beveiliging onderzoekers van Newsky veiligheid, met hun ontdekking wordt bevestigd door onderzoekers van Qihoo 360 netlab, Rapid7, en Greynoise. Het botnet in kwestie heeft meer dan gecompromitteerd 18,000 routers in een enkele dag, en is gebouwd door gebruik te maken van een lek in Huawei HG532 routers zogenaamde CVE-2017-17215.
Botnet Alleen in een dag gebouwd door Anarchy Hacker
CVE-2017-17.215 de officiële beschrijving gaat als volgt: "Huawei HG532 enkele aangepaste versies heeft een externe code beveiligingslek. Een geverifieerde aanvaller kan schadelijke pakketten naar poort te verzenden 37215 om aanvallen te lanceren. Succesvolle exploit kan leiden tot het op afstand uitvoeren van willekeurige code".
Volgens de analyse, de scans voor de zwakke plek begon op juli 18, in de ochtend, via poort 37215.
De auteur van het botnet heeft zich Anarchy geroepen en heeft geen informatie verstrekt over waarom hij het botnet creëerde. Volgens security onderzoekers, Anarchy kan dezelfde hacker die werd met behulp van de Wicked nickname en wie er achter een aantal van variaties Mirai's zijn. De variaties werden geïdentificeerd als slechte, Omni, en Owari en waren actief gebruikt in DDoS-aanvallen.
Wat is vooral betrekking tot over de nieuw ontdekte botnet is het gemak waarmee het werd gebouwd met, behulp van een high-profile lek die eerder is gebruikt voor soortgelijke redenen. Onderzoek wijst uit dat CVE-2017-17.215 is ingezet in het creëren van ten minste twee versies van de Satori botnet evenals enkele Mirai-gebaseerde kleine botnets. Laten we de Satori botnet dat is een botnet dat een fout in Huawei en een bug in Realtek exploiteert SDK-gebaseerde apparaten.
Deze kwetsbaarheden zijn benut om aan te vallen en te infecteren computers. Het botnet zelf werd op de top van de verwoestende Mirai ivd botnet geschreven. operators Satori's uitgebuit alleen deze twee kwetsbaarheden om met succes richten op honderden apparaten, onderzoekers gemeld eerder dit jaar.
De meest alarmerende deel van dit verhaal is dat de Anarchy hacker bouwde het botnet in de tijdsspanne van één enkele dag. Blijkbaar is de hacker is nog niet klaar om te stoppen en is van plan om nog een veiligheidslek te richten, CVE-2014-8361, die een kwetsbaarheid in Realtek routers die via poort kan worden benut 52869.
Hier is officieel de kwetsbaarheid van beschrijving: "De miniigd SOAP service Realtek SDK externe aanvallers willekeurige code via een bewerkte NewInternalClient aanvraag".