示意圖,與新聞事件無關。

接連入侵各廠牌無線路由器的殭屍網路Satori本月又在作亂。安全廠商NetLab 360發現,這次受害者是D-Link及另一家中國業者產品。

Satori是Mirai的變種,由中國安全業者Qihoo NetLab 360研究中心首先在2017年11月發現並命名。同年12月Satori在短短2周之間感染10萬台IoT裝置,其中包括將近9萬台華為一款家用路由器。今年2月,Satori又挑上南韓Dasan Networks一款家用路由器,入侵漏洞控制4萬台裝置。隨後於5月間Dasan Networks又有GPON路由器兩項漏洞遭到包括Satori等5隻惡意程式感染,數量至少24萬台。

6月14日Qihoo又發現Satori殭屍網路開始掃瞄網路,企圖開採中國廠商雄邁產品XiongMai uc-httpd 1.0.0(CVE-2018-10088)緩衝溢位漏洞。其掃瞄活動也導致80、8000、8080 port的大量流量。隔天Satori又釋出了新變種,目標變成D-Link DSL-2750B的家用無線路由器,這次是一隻蠕蟲程式,這意謂著它會主動複製、感染其他裝置而不需使用者任何動作。

除了掃瞄連網裝置尋找指紋為uc-httpd 1.0.0的IP位址、回報攻擊來源,研究人員也觀察到Satori變種具備DDoS能力,至少在6月中發動過兩波DDoS攻擊

另一家安全廠商Radware也同時發現Satori肆虐,Satori 殭屍網路入侵D-Link路由器,在24小時內造成攻擊流量在全球快速上升,最高峰曾超過2500個攻擊來源。

針對D-Link DSL-2750B的Satori變種樣本分析顯示,Satori攻擊開採的是其RCE漏洞。它會發動wget指令,從185.62.190.191伺服器下載遠端腳本程式。而以國家來看,這波攻擊中受影響的D-Link DSL-2750B分佈比例以巴西、南韓及義大利最高。

安全廠商指出,這個RCE漏洞早在2016年即已被揭露,影響D-Link產品韌體1.01到1.03版,不過迄今沒有修補。Ars Technica建議最簡單的自我保護方法是換掉不安全的產品。


Advertisement

更多 iThome相關內容