Ботнет из 12 тыс. маршрутизаторов Aethra использовался для атак на Wordpress-сайты

Итальянская компания VoidSec, работающая в сфере информационной безопасности, опубликовала материал о недавно обнаруженном ботнете из маршрутизаторов Aethra. Как выяснилось, злоумышленники использовали данный ботнет для осуществления брутфорс-атак на сайты под управлением WordPress.

Одна из атак была обнаружена специалистом VoidSec во время проверки личного web-сайта WordPress в феврале нынешнего года. Как показал анализ, атака осуществлялась с IP-адресов, относящихся к шести интернет-провайдерам: Fastweb, Albacom (BT-Italia), Clouditalia, Qcom, WIND, BSI Assurance UK. Большая часть данных компаний устанавливает клиентам маршрутизаторы Aethra (BG1242W, BG8542W и пр.).

В данном случае значительная часть маршрутизаторов использовала установленные по умолчанию логин/пароль, благодаря чему злоумышленники смогли взломать девайсы и внедрить вредоносное ПО. Как отметили эксперты, некоторые устройства также подвержены XSS- и CSRF- уязвимостям , позволяющим преступнику получить доступ к устройству даже в случае использования различных логинов.

При помощи поисковой системы Shodan экспертам VoidSec удалось обнаружить более 12 тыс. маршрутизаторов Aethra по всему миру. Большая часть устройств расположена в Италии – 10 866 девайсов. В брутфорс-атаках было задействовано 8 тыс. маршрутизаторов. В настоящее время порядка 70% устройств работают с настройками по умолчанию. По оценкам специалистов, каждый инфицированный маршрутизатор способен осуществлять DDoS-атаки в диапазоне от 1,7 до 17 Гб/с.

Специалисты связались с Fastweb и BT-Italia – крупнейшими итальянскими провайдерами, чьи маршрутизаторы были задействованы в брутфорс-атаках. Fastweb отреагировала оперативно, всего за неделю выпустив корректирующее обновление прошивки. Провайдер BT-Italia признал наличие проблемы, однако за 11 месяцев так и не устранил уязвимость.