智慧電視、路由器裝置示意圖

2016及2017年屢次發動大規模分散式阻斷服務(DDoS)攻擊的Mirai殭屍網路病毒,在消失匿跡一段時間後被研究人員發現捲土重來,而且這次目標是企業級的物聯網裝置,包括企業級投影機、智慧電視和Zyxel、Dlink及Netgear的多款路由器。

Mirai以發動超大規模DDoS攻擊聞名,2016年2017年利用數十萬台網路攝影機、家用路由器、網路儲存裝置,癱瘓了DNS供應商Dyn、ISP OVH及知名資安部落格Krebs on Security。

安全公司Palo Alto Networks的Unit 42於今年初發現11隻新Mirai變種。和先前版本不同之處,這些變種不是在消費型物聯網裝置上發現,其中一隻攻擊WePresent WiPG-1000無線投影系統的WePresent WiPG-1000 Command Injection漏洞,另一隻則攻擊LG Supersign TV智慧電視的CVE-2018-17173。這二款都是商務型連網設備。這顯示駭客可能將目標轉向企業網路,藉以取得更大頻寬建立殭屍網路,方便日後發動DDoS攻擊。

這已不是Mirai首度攻擊企業網路。去年九月,Mirai也攻擊了Apache Struts及SonicaWall網路設備漏洞,前者也導致美國第三大消費者信用管理公司Equifax伺服器的重大資料外洩。

但這次新一批Mirai變種有多種攻擊程式,分別攻擊不同裝置的漏洞,包括合勤Zyxel P660HN-T 路由器(Zyxel P660HN Remote Command Execution)、D-Link DIR-645、DIR-815 路由器(DLink diagnostic.php Command Execution);DLink DCS-930L網路攝影機(DLink DCS-930L Remote Command Execution);Netgear DGN2200 N300 Wireless ADSL2+ Modem Routers(CVE-2016-1555);Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320(CVE-2017-6077, CVE-2017-6334);及Netgear Prosafe WC9500、WC7600、WC7520 Wireless Controllers(Netgear Prosafe Remote Command Execution)等。所幸研究人員尚未觀察到已有發生攻擊的跡象。

研究人員也發現Mirai從代管在哥倫比亞的一個受駭網站下載惡意程式。他們也在這批Mirai變種發現到用於暴力破解連網裝置的預設帳密。

研究人員表示,這些趨勢也提醒企業必須注意公司網路上的IoT裝置,須變更預設密碼,並確保隨時更新修補程式。若有裝置無法修補程式,或許考慮最好從公司網路上移除。

2019/3/26更新:合勤3/26來信提供中文聲明,指出受影響型號為P660HN,但臺灣未銷售,也早於2017年就釋出修補。


Advertisement

更多 iThome相關內容