速查,新型僵尸网络BotenaGo瞄准了数百万设备
2021-11-12 14:32:21 Author: www.freebuf.com(查看原文) 阅读量:38 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

国外安全研究人员发现,近期一款新型的新型恶意僵尸网络BotenaGo已经瞄准了数百万路由器和物联网设备,并且已经在开始感染,企业安全人员应高度重视。

截止到目前,安全研究人员已经发现BotenaGo获取了各种路由器、调制解调器和 NAS设备上的33个漏洞,这也是它能够快速扩散的原因。

以下是部分存在漏洞的设备,AT&T安全研究人员建议企业和用户立即进行更新:

CVE-2015-2051、CVE-2020-9377、CVE-2016-11021:D-Link 路由器

CVE-2016-1555、CVE-2017-6077、CVE-2016-6277、CVE-2017-6334:Netgear 设备

CVE-2019-19824:基于 Realtek SDK 的路由器

CVE-2017-18368、CVE-2020-9054:Zyxel 路由器和 NAS 设备

CVE-2020-10987:腾达产品

CVE-2014-2321:中兴通讯调制解调器

CVE-2020-8958:广州 1GE ONU

AT&T安全研究人员在研究、分析了该僵尸网络后表示,它的目标就是存在漏洞的那些设备,初步估计至少有数百万。

之所以这么说,是因为安全人员在搜索关键词“Boa”时,发现这个已经停用了的,嵌入式应用的开源web服务器,在Shodan上依旧有接近200万的设备正在使用。毫无疑问,这些设备都存在漏洞,很有可能遭受BotenaGo的攻击。

Shodan 搜索在 Boa 上返回了 200 万条结果

另一个值得注意的情况是CVE-2020-10173漏洞,这是已经发现了的,Comtrend VR-3033 网关设备中的一个命令注入缺陷,但是依旧还有250,000台路由器正在使用。恶意软件会实时关注两个端口(31412 和 19412),并向其发送IP地址,而一旦收到IP地址,BotenaGo会利用该IP地址上的漏洞获得访问权限。

BotenaGo使用Golang语言

研究中,安全人员发现BotenaGo的编程语言是当下十分流行的Golang (Go),这将大大提升BotenaGo的隐蔽性。

以 BotenaGo 为例,VirusTotal 上的 62 个 AV漏扫工具只有 6 个将样本标记为恶意,有些将其识别为 Mirai,其余都没有识别出来,其中很大的原因就是因为使用了Golang语言。

事实上,Golang已经逐渐成为当下编程的主流语言,是腾讯最喜欢用的第二大编程语言,并且还在上升;字节跳动更是直接以Golang语言为主,55%以上的产品和服务是使用Golang语言进行编程。

Golang语言源于谷歌的内部项目,由三位名声赫赫的资深开发者创造:其中罗伯特·格瑞史莫是谷歌V8引擎的负责人;罗勃·派克和肯·汤普逊共同开发了Unix 环境并共同创建了Limbo编程语言。

如今,Golang语言已经有超越Python的趋势,不仅越来越的程序员使用它,就连很多黑灰产也开始用它编程。

但对于安全厂商和人员来说,这是一个新的挑战:针对这些新型的恶意软件和僵尸网络,是否已经及时对安全产品进行更新、迭代,或者是开发针对性的安全产品,进一步强化安全能力。

参考来源:https://www.bleepingcomputer.com/news/security/botenago-botnet-targets-millions-of-iot-devices-with-33-exploits/


文章来源: https://www.freebuf.com/news/304547.html
如有侵权请联系:admin#unsafe.sh