双重门:IoT僵尸网络可绕过防火墙安置后门
作者: 日期:2018年02月18日 阅:3,539

安全公司 NewSky Security 发现了新物联网(IoT)僵尸网络“双重门(DoubleDoor)”,该僵尸网络利用两个漏洞绕过受害设备上的身份验证过程和其他安全措施。

攻击者能很容易地夺取目标设备的完整控制权,无论用户是启用了身份验证还是添加了防火墙。该恶意软件特别针对CVE-2015–7755漏洞——在Juniper NetScreen防火墙的SmartScreen操作系统中发现的著名漏洞,还有Zyxel调制解调器后门漏洞CVE-2016–10401。

NewSky Security 的博客中称,该僵尸网络的恶意活动从部署Juniper漏洞利用来绕过防火墙身份验证开始。利用该后门,攻击者能访问SSH并通过硬编码的口令“<<< %s(un=’%s’) = %u ”和任意用户名远程登录NetScreen防火墙。DoubleDoor攻击周期使用用户名netscreen实现。一旦实现,该僵尸网络就会在PK5001Z设备上部署Zyxel后门。这是非常直接的漏洞利用,其中用到了硬编码的超级用户(su)口令“zyad5001”。

攻击者可通过该漏洞利用获取设备特权。NewSky Security 的博客中还提到,在染指超级用户之前,攻击者执行基于口令的攻击,获取基础权限账户,比如admin: CenturyL1nk。而且,该僵尸网络还会进行侦察以确保攻击成功,实现目标IoT设备入侵。

因为每次攻击都用的是随机字符串,没有留下标准字符串,该僵尸网络的侦察行为便难以被归类为恶意。不过,这些字符串的长度有个唯一的共同特点:长度都是8个字符。研究人员认为,该僵尸网络还处于其起步阶段。2018年1月18到27号期间发生的攻击绝大部分都源自韩国IP。只有装了未修复的Zyxel调制解调器且加装了没打补丁的特定版本ScreenOS防火墙才受该攻击影响。

研究人员表示,企业环境中双层IoT防护很常见,因为企业从不依赖内置的IoT身份验证,他们通常会用防火墙加上另一层防护。

“尽管此类企业设备在数量上比较少,但控制此类企业环境路由器能让攻击者发起针对性IoT攻击,对攻击者来说更有价值。”

Zyxel信息技术总监揭示,该公司在2017年12月就在客户设备上部署了处理该漏洞的解决方案。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章