Ny Mirai-variant 'kapret TalkTalk-routere til botnet'

malware

99% af botnet routere tilhører TalkTalk, siger Imperva

Sikkerhedsforskere ved Imperva sagde i går at en række hjemme routere er blevet kapret af et nyt Mirai-baseret botnet, hvor 99% tilhører TalkTalk-kunder.

Angrebet synes at have udnyttet en ny TR-064 sårbarhed, og forskere sagde, at dette kunne være en "trussel mod internetudbydere over hele verden".

TR-064 er en protokol, der vedtages af de fleste internetudbydere, når fjernbetjenings routere bruger port 7547 til at modtage fjernkommandoer.

Imperva sagde: "En sådan kommando er Time / SetNTPServers, der bruges til at synkronisere en router med en ekstern tidskilde. Men den samme kommando kan også ændres for at lade hackere eksternt udføre bash-kommandoer. "

Selv om sikkerhedsfirmaet ikke havde fundet nogen routere med åbne 7574-porte, opdagede den, at nogle havne var blevet åben indtil nogle få dage siden.

Alle de 2,398-angrebne botnet-enheder siges at være placeret i Storbritannien.

Imperva sagde: "Denne form for IP-distribution er usædvanlig for DDoS-botnets. Typisk indikerer det en sårbarhed i en enhed, der leveres af lokale detailhandlere, hvilket gør det muligt for en sådan regional botnet at blive vist ".

Virksomheden havde også fundet, at en af ​​sine kunder, et Bitcoin-selskab, var blevet ramt af en række GET- og POST-oversvømmelsesangreb på 5 december.

Imperva sagde, at det er svært at vide, om malware, der angreb disse TalkTalk hjemme routere, var den samme Mirai-variant, der blev brugt i Deutsche Telekom-angrebet i sidste uge.

"Forbrydernees vedholdenhed, såvel som dets valg af mål, viser, at dette er en forudindtaget offensiv - ikke den typiske tilfældige burst lanceret fra en lejet DDoS-for-hire-service", siger forskerne.

Ifølge Imperva er TalkTalk opmærksom på angrebet og udstedt en løsning for TR-064 sårbarheden og udstedt en løsning for sårbarheden.

En TalkTalk talskvinde sagde i en erklæring sendt til IT Pro: "" Sammen med andre internetudbydere i Storbritannien og i udlandet fortsætter vi med at tage skridt til at gennemgå de potentielle virkninger af Mirai-ormen. Et lille antal kunde routere blev påvirket af dette problem. Vi har gjort gode fremskridt med at reparere disse og fortsætter med at implementere yderligere netværksniveaukontrol for yderligere at beskytte vores kunder. "

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.