Эксплоит для атак на маршрутизаторы Huawei опубликован в открытом доступе

На портале Pastebin опубликован эксплоит, использовавшийся вредоносным ПО Satori (вариант Mirai) для заражения маршрутизаторов Huawei Home Gateway. Об этом сообщил исследователь безопасности Анкит Анубхав (Ankit Anubhav) в своем блоге.

Эксплоит для уязвимости CVE- 2017-17215 использовался хакером под псевдонимом Nexus Zeta для распространения вредоносного ПО Satori, также известного как Okiku. По словам аналитика компании Check Point Майи Хоровитц (Maya Horowitz), теперь, когда эксплоит стал доступен публично, его начнут активно использовать злоумышленники. Можно предположить, что IoT-ботнеты, пытающиеся проэксплуатировать как можно больший набор уязвимостей, будут добавлять CVE-2017-17215 в свой арсенал, добавила она.

Уязвимость CVE-2017-17215 в модели маршрутизатора Huawei HG532 была обнаружена ранее в этом месяце. Проблема позволяла удаленному злоумышленнику отправлять вредоносные пакеты на порт 37215 для выполнения кода на уязвимых устройствах.

Как пояснили эксперты, причиной уязвимости была ошибка, связанная с SOAP - протоколом, используемым многими IoT-устройствами. Ранее уязвимости в SOAP и TR-064 широко эксплуатировались различными вариантами ботнета Mirai.

Злоумышленник может проэксплуатировать проблему путем отправки специально сформированных пакетов на порт 37215. Структура UPnP поддерживает функцию DeviceUpgrade, позволяющую выполнять обновление прошивки, пояснил специалист. Таким образом уязвимость позволяет удаленно выполнить произвольные команды, вставляя метасимволы оболочки в процесс DeviceUpgrade.

По словам Анубхава, данный эксплоит уже использовался вредоносным ПО Brickerbot и Satori. Теперь, когда этот код является общедоступным, он будет включен в множество различных вариантов вредоносного ПО. Из соображений безопасности исследователь не стал публиковать ссылку на эксплоит.