Exploit para atacar roteador da Huawei está disponível na rede

Tornou-se público na semana passada o código do exploit utilizado pela botnet Satori para atacar roteadores Huawei através de uma vulnerabilidade zero-day, descobriram pesquisadores.

O exploit tem sido utilizado em ataques envolvendo a variante Satori da botnet Mirai para explorar a vulnerabilidade descrita no CVE-2017-17215, que não foi publicada quando os primeiros ataques começaram.

A vulnerabilidade foi encontrada em dispositivos Huawei HG532 em dezembro do ano passado. Pouco depois, a Huawei publicou um aviso sobre como os usuários podem contornar ou impedir o ataque.

Descoberto no Pastebin durante o Natal, o código poderia dar um “gas” nas tentativas de exploração da vulnerabilidade.

Router Huawei modelo HG532E

Router Huawei modelo HG532E

Semelhanças do exploit da Huawei com o de outra botnet

O código descoberto também foi utilizado pelo destrutivo BrickerBot, uma famosa botnet que realiza ataques de negação de serviço (Denial of Service) em dispositivos IoT (Internet of Things ou Internet das Coisas), diz a empresa NewSky Security.

No início de dezembro, os autores por trás do BrickerBot disponibilizaram na web um código e anunciaram planos para aposentar seu projeto. O código divulgado incluiu alguns dos módulos de ataque utilizado pelo malware, incluindo o que visava a falha da Huawei, descobriram os pesquisadores.

Ao analisar o código, descobrimos o uso da vulnerabilidade descrita no CVE-2017-17215, nos dando a entender que este código este na posse de hackers por um certo tempo.

NewSky Security

Analisando o código do Satori e do BrickerBot, os pesquisadores de segurança notaram que o mesmo vetor de ataque está presente em ambos, o que levou à conclusão de que os desenvolvedores do malware “copiaram o código da mesma fonte”.

Os pesquisadores também apontaram que um bug foi explorado no protocolo SOAP (Simple Object Access Protocol) em ataques envolvendo dispositivos IoT. Diversas variantes da botnet Mirai observadas no ano passado estavam utilizando outros dois bugs no SOAP (CVE-2014-8361 e TR-64). Os bugs eram explorados em conjunto, para aumentar as chances de um ataque bem sucedido.

Os ataques em dispositivos IoT são realizados de forma modular dia a dia. Quando um exploit de IoT é disponível na Internet. Em pouco tempo os atacantes preparam o seu arsenal e implantam o exploit como um dos vetores de ataque no código de sua botnet.

NewSky Security

Fonte:

http://www.securityweek.com/botnets-huawei-router-exploit-code-now-public

O Analista

Adoro letras verdes sob um fundo preto...