Um novo botnet foi detectado por pesquisadores de segurança da NewSky security, com sua descoberta sendo confirmada por pesquisadores de Qihoo 360 Netlab, Rapid7, e Greynoise. O botnet em questão comprometeu mais de 18,000 roteadores em um único dia, e foi construído aproveitando uma falha de segurança nos roteadores Huawei HG532 conhecidos como CVE-2017-17215.
Botnet construído apenas em um dia por Anarchy Hacker
A descrição oficial do CVE-2017-17215 é assim: “Huawei HG532 com algumas versões personalizadas tem uma vulnerabilidade de execução remota de código. Um invasor autenticado pode enviar pacotes maliciosos para a porta 37215 para lançar ataques. A exploração bem-sucedida pode levar à execução remota de código arbitrário”.
De acordo com a análise, as varreduras para a falha começaram em julho 18, pela manhã, via porto 37215.
O autor da botnet se autodenominou Anarchy e não forneceu nenhuma informação sobre o motivo de ter criado a botnet. De acordo com pesquisadores de segurança, Anarchy pode ser o mesmo hacker que estava usando o apelido Wicked e que está por trás de algumas variações de Mirai. As variações foram identificadas como perversas, Omni, e Owari e foram usados ativamente em ataques DDoS.
O que é mais preocupante sobre o botnet recém-descoberto é a facilidade com que foi construído, usando uma falha de segurança de alto perfil que foi usada antes por motivos semelhantes. A pesquisa indica que o CVE-2017-17215 foi implantado na criação de pelo menos duas versões do botnet Satori, bem como alguns botnets pequenos baseados em Mirai. Vamos pegar o botnet Satori que é um botnet que explora uma falha na Huawei e um bug em dispositivos baseados em Realtek SDK.
Essas vulnerabilidades foram exploradas para atacar computadores e infecto. O botnet em si foi escrito em cima do devastador botnet Mirai Internet das coisas. Os operadores da Satori exploraram apenas essas duas vulnerabilidades para atingir com sucesso centenas de dispositivos, pesquisadores relataram no início deste ano.
A parte mais alarmante desta história é que o hacker Anarchy construiu a botnet no espaço de um único dia. Aparentemente, o hacker ainda não está pronto para parar e planeja atacar outra falha de segurança, CVE-2014-8361, que é uma vulnerabilidade nos roteadores Realtek que pode ser explorada via porta 52869.
Aqui está o oficial da vulnerabilidade descrição: “O serviço SOAP miniigd no SDK da Realtek permite que invasores remotos executem código arbitrário por meio de uma solicitação NewInternalClient criada”.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: