最近趨勢科技發現了一隻針對Netgear路由器的惡意軟體 – RouterX,它會利用遠端存取和命令執行漏洞(CVE-2016-10176)進行攻擊。RouteX會將受感染路由器轉變成SOCKS代理伺服器,限制只有攻擊能存取設備。RouteX還能夠讓攻擊者進行憑證填充(Credential Stuffing)攻擊,這是利用竊來的憑證對使用者帳號進行非法存取的網頁注入攻擊。據報導這些攻擊針對的是財富500強企業。
CVE-2016-10176是出現在特定Netgear路由器和數據機路由器的安全漏洞,一旦攻擊成功就可以攻擊者遠端存取設備。還可以讓駭客回復設備密碼並執行命令。這個漏洞的韌體/軟體修補程式早在2017年1月就已經釋出。
[相關資訊:Netgear漏洞提醒了企業跟家庭都需要注重路由器安全]
透過將受感染設備轉變為SOCKS代理伺服器,可以用來重導攻擊者和目標間的網路流量。這不僅替駭客提供了進一步攻擊的跳板,而且還可以混淆網路犯罪活動的真正來源讓駭客匿名化。
這手法並不新鮮。Android惡意軟體(如MilkyDoor和DressCode)會利用SOCKS協定透過中毒手機連進企業內部網路。甚至是物聯網(IoT)惡意軟體如TheMoon會感染IP攝影機出現類似的行為。RouteX的不同處在於設置SOCKS代理程式後,它會加入Linux防火牆規則來防止其他惡意軟體利用同一個漏洞,並將可連上路由器的位置限制在可能受攻擊者控制的某些IP位址。
[延伸閱讀:保護你的路由器對抗Mirai和其他家庭網路攻擊]
RouteX也被發現有段值得注意的網路犯罪過去。發現這惡意軟體的安全研究人員發現一些它跟RouteX前身(攻擊Ubiquiti Networks設備的漏洞攻擊碼/惡意軟體)作者間的連結,主要是命令和控制(C&C)網域和啟動螢幕。
RouteX進一步強調了不安全路由器或IoT設備帶來的風險。在去年十二月,一波攻擊利用命令注入漏洞造成90萬台Deutsche Telekom路由器停擺。殭屍網路也利用Mirai中毒路由器和其他IoT設備來對DNS服務商Dyn進行分散式阻斷服務(DDoS)攻擊。
不安全的路由器可能導致知名網站離線,設備無法使用,甚至資料被竊。事實上,保護你的路由器跟保護企業網路周邊一樣重要。RouteX展示出有漏洞的路由器會如何被利用來針對企業網路和資產。也可以被用來攻擊連到它的設備及所儲存的資料。但更重要的是,廠商對於確保自己所製造網路連線設備安全性方面扮演至關重要的角色,所以在開發產品時要將安全性落實在設計裡。
@原文出處:RouteX Malware Found Exploiting Remote Access Vulnerability in Netgear Routers