示意圖,與新聞事件無關。

研究人員發現新種物聯網(IoT)裝置殭屍網路程式Hakai在網路散佈入侵使用預設密碼的華為、及台灣的瑞昱(Realtek)及友訊的路由器,迄今似乎沒有緩解方法,研究人員呼籲用戶應儘速變更密碼。

NewSky Security安全研究人員Ankit Anubhav首先發現名為Hakai的惡意程式,Hakai在日文中意為「破壞」。它是由稍早流行的殭屍網路程式Qbot(又被稱為Gafgyt、Bashlite, Lizkebab、Torlus或LizardStresser)演變而來。研究人員告訴ZDNet,Hakai程式的作者一開始是為了出名,還曾經將研究人員照片置於C&C伺服器的首頁挑釁。

Hakai具有很有效的Telnet掃瞄器,會在網路上掃瞄使用預設密碼,或僅使用如123、admin、root等簡單密碼的路由器產品,它專門開採遠端指令執行漏洞,先下載Shell Script檔案到裝置上及適當的binary檔,後者使用名為UPX(Ultimate Packer for eXecutables)的封裝器軟體來感染裝置。之後即連向外部C&C伺服器接收指令,或是擴散到其他路由器。多家安全公司的研究人員發現到,七月起Hakai開始在網路上蔓延,入侵多家知名品牌路由器。

迄今Hakai已開採CVE-2017–17215漏洞入侵華為路由器中的Huawei Router HG532,再經由Realtek SDK中miniigd UPnP SOAP服務CVE-2014–8361漏洞入侵其路由器產品。

此外,多款支援Home Network Administration Protocol(HNAP)協定的D-Link路由器產品,因該協定不當實作也遭駭。安全公司SourceSec Security Research相信影響所有從2006年支援HNAP協定的產品都可能受到影響,包括DI-524 C1版(韌體版本3.23)、DIR-628 B2版(韌體版本1.20NA、1.22NA)與DIR-655 A1版(韌體版本1.30EA),之後再擴及DIR-645DSL-2750B安全公司Tempest還偵測到在拉丁美洲特別是巴西Hakai變種最近大量感染DSL-2750B,光是8月一個月內就被偵測到至少134次,感染119個不同的IP。

研究人員Jouini Ahmed在八月的文章指出,迄今沒有方法可以關閉HNAP,也沒有修補程式。因此當務之急是變更路由器預設密碼,並掃瞄網路設備是否有漏洞。


Advertisement

更多 iThome相關內容