O código do exploit utilizado na variante do malware Mirai chamado Satori, que foi usado para atacar centenas de milhares de roteadores Huawei nas últimas semanas, agora é público. Os pesquisadores alertaram que o código rapidamente se tornará uma mercadoria e será aproveitada em ataques DDoS através de botnets, como o Reaper ou o IOTrooper.
Ankit Anubhav, pesquisador da NewSky Security, identificou o código na segunda-feira e que havia sido postado publicamente no Pastebin.com. O código é a vulnerabilidade zero-day CVE-2017-17215, usada por um hacker identificado como “Nexus Zeta” para espalhar uma variante do malware Mirai chamado Satori, também conhecido como Mirai Okiru.
“O fato de que o código está agora em aberto significa que mais atores de ameaça agora estariam usando. Podemos supor que a exploração se tornaria uma mercadoria, e os botnets IoT que tentam explorar um grande kit de vulnerabilidades estarão adicionando o CVE-2017-17215 ao seu arsenal”, disse Maya Horowitz, gerente do grupo de inteligência de ameaças, Check Point.
Na semana passada, o Check Point identificou a vulnerabilidade (CVE-2017-17215) em um modelo de roteador Huawei HG532 que estava sendo explorado pelo Nexus Zeta para espalhar a variante Mirai Okiru / Satori. Desde então, a Huawei emitiu um aviso de segurança atualizado para os clientes avisando que a falha permite que um adversário remoto envie pacotes maliciosos para a porta 37215 para executar o código remoto em roteadores vulneráveis.
“Este código agora é conhecido por uma variedade de black hats. Assim como os exploits SOAP lançados anteriormente de forma gratuita para o público, eles serão usados por vários script kiddies e atores de ameaças”, disse Anubhav. O NewSky Security publicou em seu blog na quinta-feira descrevendo a descoberta do código zero-day.
A causa implícita foi um bug relacionado ao SOAP, um protocolo usado por muitos dispositivos IoT, disse Anubhav. Problemas anteriores no SOAP (CVE-2014-8361 e TR-064) afetaram diferentes fornecedores e foram amplamente utilizados pelas variantes Mirai.
No caso do CVE-2017-17215, este zero-day explora como o roteador Huawei usa o protocolo Universal Plug and Play (UPnP) e o padrão de relatório técnico TR-064. TR-064 é um padrão projetado para facilitar a inclusão de dispositivos UPnP incorporados em uma rede local.
“No entanto, neste caso, a implementação do TR-064 nos dispositivos Huawei foi exposto a WAN através da porta 37215 (UPnP)”, escreveram os pesquisadores. O framework UPnP oferece suporte a um “DeviceUpgrade” que pode realizar uma ação de atualização de firmware.
A vulnerabilidade permite que administradores remotos executem comandos arbitrários injetando meta-caracteres de shell no processo DeviceUpgrade.
“Depois que foram executados, o exploit retorna a mensagem padrão HUAWEIUPNP e o ‘upgrade’ é iniciado”, escreveram os pesquisadores do Check Point.
O principal objetivo do payload é instruir o bot para inundar os alvos com pacotes UDP ou TCP criados manualmente.
“O código do exploit já foi usado por dois grandes botnets IoT, Brickerbot e Satori, e agora que o código é público, ele será incorporado em diferentes variantes de botnet”, disse Anubhav.
Soluções
A mitigação contra ataques inclui a configuração do firewall interno do roteador, a alteração da senha padrão ou o uso de firewall no lado da operadora, disse a Huawei.
“Por favor, note que os usuários desse roteador são principalmente usuários domésticos, que normalmente não acessam a interface do roteador e não possuem necessariamente o know-how e, infelizmente, tenho que assumir que a maioria dos dispositivos permaneceria vulnerável”, disse Horowitz. “Precisamos desesperadamente dos fabricantes de dispositivos IoT para tornar a segurança uma prioridade máxima e não deixar os usuários responsáveis”.
EXTRA: Não deixe de conferir
Publicado originalmente no ThreatPost em 28 de dezembro de 2017.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
Imagem destacada deste post: Freepik