Новый ботнет атакует роутеры D-Link, используя уязвимость, которой 10 лет
Критический «баг» в ряде старых моделей роутеров D-Link обеспечивает беспроблемный захват контроля над ними. Ботнет, специализирующийся на разнообразных DDoS-атаках, активно охотится на такие роутеры.
Уязвимость 2015 года
Эксперты лаборатории информационной безопасности FortiGuard Labs при компании Fortinet выявили прежде неизвестный ботнет, который активно атакует старые роутеры D-Link.
В оболочках роутеров DIR-645 в 2015 г. была выявлена критическая уязвимость CVE-2015-2051, получившая 9,8 баллов по шкале угроз CVSS. Благодаря ей злоумышленники могли удалённо запускать произвольные команды через специально сформированные HTTP-запросы.
Атакованные таким образом устройства оказываются под полным контролем злоумышленников. Они получают возможность извлекать системную информацию, подключать роутеры к своему командному серверу и использовать их для осуществления DDoS-атак или для других своих «надобностей».
Ботнет Goldoon, в частности, использует CVE-2015-2051 для загрузки в роутер скрипта-дроппера, который определяет архитектуру программной оболочки устройства и загружает вредоносные компоненты следующей стадии для них. Среди поддерживаемых архитектур - aarch64, arm, i686, m68k, mips64, mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha и PA-RISC.
Компонент второй стадии, в свою очередь, загружает с удалённого эндпойнта и запускает уже основной программный агент ботнета Goldoon. Запускаемый файл и дроппер затем удаляются из оболочки.
Попытки установить соединение с системой, с которой скачивается финальный вредонос, приводят к тому, что в браузере появляется сообщение: «Извини, ты агент ФБР, мы тебе помочь не сможем :( Проваливай, или я тебя убью :)»
27 видов DDoS
Установившись в систему, Goldoon обеспечивает себе постоянство присутствия с помощью различных методов автозапуска, открывает соединение с командным сервером и ожидает инструкций.
Основное его назначение, судя по всему, это проведение DDoS-атак. Вредонос поддерживает 27 различных методов DDoS через множество протоколов, в том числе, DNS, HTTP, ICMP, TСP и UDP.
«Данный сюжет в очередной раз доказывает, насколько часто роутеры оказываются самым пренебрегаемым компонентом любой сети», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, залогом успеха ботнета Goldoon оказывается изобилие функционирующих роутеров с уязвимостью, которой почти десять лет, и как будто бы полное отсутствие у их владельцев интереса что-то исправлять. «Впрочем, не исключено, что большинство этих роутеров - это "забытые" компоненты крупных корпоративных сетей, о существовании которых их администраторы могут и не догадываться», - подытожила Анастасия Мельникова.
Эксперт отметила, что эта проблема обсуждается давно, но зримых шагов к её исправлению пока не видно.