Информационная безопасностьНовости

Сразу пять ботнетов эксплуатируют уязвимости роутеров Dasan GPON

Ранее в этом месяце ИБ-специалисты vpnMentor предупредили, что роутеры Dasan GPON подвержены сразу двум серьезным уязвимостям, патчей для которых на тот момент не существовало: CVE-2018-10561 и CVE-2018-10562 (обход аутентификации и удаленное исполнение произвольного кода).

Сообщалось, что под угрозой находятся более миллиона уязвимых устройств (основываясь на данных Shodan), и их проблемами незамедлительно стали пользоваться злоумышленники. Дело в том, что proof-of-concept эксплоит уже был опубликован в открытом доступе.

It did not take long for miscreant to spot and add this to their weapon library, we have captured activity utilizing CVE-2018-10561 CVE-2018-10562 with an active C2 up and running in VN. We will share more details soon. https://t.co/I7lE3gRWr5

— 360 Netlab (@360Netlab) May 3, 2018

Теперь специалисты Qihoo 360 Netlab сообщают, что за право заразить роутеры Dasan GPON уже соревнуются не отдельные хакерские группы, но сразу пять крупных ботнетов: Hajime, Mettle, Mirai, Muhstik и Satori.

При этом эксперты пишут, что в четырех случаях из пяти (Hajime, Mirai, Muhstik, Satori) эксплоиты для роутеров выполнены с ошибками из-за чего атаки на устройства Dasan GPON не дают никаких результатов. Эксплоиты ботнета Mettle работают как должно, однако управляющий сервер ботнета в настоящее время не функционирует, так что успешных заражений с этой стороны пока тоже не зафиксировано.

Согласно официальным заявлениям представителей Dasan, уязвимостям подвержены модели ZNID-GPON-25xx серии и GPON ONT H640 серии, а общее количество уязвимых роутеров в интернете составляет 240 000 устройств или даже меньше.

При этом разработчики пояснили, что DZS ZNID-GPON-25xx и ONT серии H640 были разработаны OEM-поставщиком и перепродавались DZS (DASAN Zhone Solutions). Более того, устройства были выпущены девять лет назад и к настоящему моменту былые контракты и договоренности уже не актуальны, а девайсы «отслужили свое». Хотя компания заверяет, что уведомила о проблемах всех клиентов, работающих с уязвимым оборудованием, и в каждом отдельном случае проблему решают индивидуально, судя по всему патчей для опасных уязвимостей в скором будущем можно не ждать.

Эксперты vpnMentor и вовсе полагают, что разработка патчей даже не ведется и исправлений могут не выпустить вовсе. Поэтому специалисты vpnMentor выпустили собственный инструмент, который позволяет обезопасить роутеры от атак. В сущности, утилита отключает возможность удаленного администрирования устройства и ограничивает девайс исключительно локальной сетью, отключая веб-сервер. Также эксперты советуют располагать уязвимые роутеры за файрволом, или, если есть возможность, поменять оборудование вообще.