【资安日报】5月3日,僵尸网路Goldoon锁定D-Link家用路由器DIR-645老旧漏洞发动攻击

一般而言,僵尸网路攻击行动,往往针对多种类型的设备而来,或是对于多个漏洞发动攻击,但最近资安业者Fortinet揭露的攻击行动,骇客竟只针对单一型号的路由器,以及完成修补的已知漏洞下手。

这起攻击行动的特殊之处,在于对方专门对于家用路由器DIR-645而来,且利用已知漏洞CVE-2015-2051发动攻击,而这个漏洞早在9年前就被修补,由此可见,仍有不少该型号设备尚未套用新版韧体而曝险。

 

【攻击与威胁】

资安业者Fortinet于上个月发现僵尸网路Goldoon攻击行动,对方锁定存在已知漏洞CVE-2015-2051的无线路由器DIR-645,并指出这些设备一旦因为具有这些漏洞而遭到入侵,攻击者可得到完整的控制权,并取得系统资讯,与C2伺服器建立通讯,然后发动DDoS攻击。研究人员指出,根据他们的遥测资料,此僵尸网路的活动频率于4月显著增加,为之前的2倍。

究竟攻击者入侵路由器的过程与手法细节,研究人员并未特别说明,但指出一旦对方成功存取这些设备,就会从特定IP位址恶意程式下载工具(Dropper)指令码,执行后会自动根据目标装置的系统架构,下载对应的Goldoon程式,而该档案执行后,就会下载名为i686-linux-gnu的档案,并将自己删除,以防留下证据。针对i686-linux-gnu的功能,就是下载僵尸网路病毒档案。

5月1日美国网路安全暨基础设施安全局(CISA)联合该国7个机关、加拿大网路安全中心(CCCS)、英国国家网路安全中心(NCSC-UK)提出警告,俄罗斯骇客为了破坏关键基础设施的运作,正在寻找、入侵不安全的操作科技(OT)环境。

对此,这些机构也对于骇客的攻击手法进行归纳,指出对方利用VNC通讯协定,并借由5900埠存取人机互动介面(HMI),从而对OT环境的底层进行窜改,而且,往往是利用预设帐密或弱密码,且缺乏双因素验证(MFA)防护机制的情况下而能得逞。再者,对方也滥用VNC的远端框架缓冲协定(Remote Frame Buffer Protocol),登入HMI来控制整个OT环境。

其他攻击与威胁

 

【漏洞与修补】

资安研究人员Pierre Barre在Brocade储存区域网路(SAN)管理软体SANnav发现多个漏洞,可能被用来攻击光纤通道(Fibre Channel)交换器与SAN基础设施。对此,该公司在今年4月发布2.3.1版修补相关弱点,当中共有18个漏洞,影响2.3.0版以前的所有SANnav版本,其中有15个漏洞已被指派CVE识别码。

值得留意的是,这些漏洞研究人员早在2022年9月透过Dell向Brocade通报,只因为研究人员对于2.1.1版SANnav进行调查,但当时该公司已推出2.2.2版而并未受理。直到去年5月研究人员确认新版也存在这些漏洞,Brocade才正式承认此事。

其他漏洞与修补