美国超60万台路由器遭神秘攻击
2024-6-3 17:29:27 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

身份不明的攻击者导致超过60万台SOHO路由器被变砖且宕机,阻断用户访问互联网。

这起神秘攻击发生在2023年10月25日至27日,影响美国的一家互联网服务提供商,被 Lumen Technologies Black Lotus Labs 团队命名为 “Pumpkin Eclipse”,它影响由该互联网服务提供商发布的三款路由器机型:ActionTec T3200、ActionTec T3260和Sagemcom。

该研究团队发布技术报告提到,“该事件发生在10月25日至27日的72小时内,导致受影响设备永久不可运营,并要求硬件替换。”该事件影响重大,不仅是因为它导致该互联网服务提供商的自治系统编号 (ASN) 的49%的所有调制解调器被突然删除。虽然该互联网服务提供商的名称并未披露,但证据表明它是 Windstream。该公司在同一时间段经历宕机,用户报告称受影响调制解调器上显示“持续红灯”。

而经过几个月后,研究人员披露了一款商用远程访问木马 (RAT) Chalubo,它是由 Sophos 公司在2018年10月率先记录的一款隐秘恶意软件,攻击者不使用自定义工具集的目的似乎是让事件归因更加难以实现。

研究人员提到,“Chalubo 为所有主流 SOHO/IoT 内核设计payload,预制功能执行DDoS攻击并可执行发送到该僵尸的任何 Lua 脚本。我们怀疑 Lua 功能可能被用于检索该破坏性 payload。”

话虽如此,目前尚不清楚用于攻陷该路由器的初始访问方法,尽管从理论上来讲可能涉及弱凭据或利用已暴露的管理接口。获得成功立足点后,该感染链会释放 shell 脚本,从而为从外部服务器检索并启动 Chalubo 的加载器铺路。该破坏性 Lua 脚本模版尚处于未知状态。

这起攻击引人注目的地方在于它仅针对单个ASN,而不是平常看到的针对特定的路由器机型或常见漏洞,因此该ASN遭针对性攻击,而目前尚不清楚攻击者的动机。研究人员提到,“从所影响的单元数量而言,这次事件是前所未有的。我们从未发现攻击者要取代超过60万台路由器。另外,这种攻击类型此前仅发生过一次,那就是 AcidRain 被用作军事入侵的先兆。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

TP-Link 修复热门C5400X 游戏路由器中的严重RCE漏洞

思科提醒注意Small Business路由器中的XSS漏洞

速修复!Buffalo VR-S1000 VPN 路由器中存在多个漏洞

CISA:FXC 路由器和 QNAP NVR 漏洞已遭在野利用

原文链接

https://thehackernews.com/2024/05/mysterious-cyber-attack-takes-down.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519644&idx=2&sn=d8a9e69c892d69704a1ce3fc0d49ebf7&chksm=ea94bcf6dde335e0bb008c82fc90bdf28c3bc64dae4abf1aeec83decc350803c79d2d33f1c57&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh