Pastebin 上发现华为路由器 CVE-2017-17215 漏洞 Exp

过去几周内，Mirai 变种 Satori 攻击了成千上万的华为路由器，目前相关的漏洞利用代码已流出，研究人员警告，这些代码将会很快集成到各种 EK 攻击包中，并通过僵尸网络（如 Reaper 或 IOTrooper）发动 DDoS 攻击。

NewSky Security 研究人员 Ankit Anubhav 在周一证实了 Pastebin.com 网站上公布的 CVE-2017-17215 利用代码，该代码是一个名为 “Nexus Zeta” 的黑客所使用的 0day，主要用于传播 Mirai 变种 Satori（也称为 Okiku）。

“公开代码意味着该漏洞将被更多的攻击者利用，可以预见将有大量 IoT 僵尸网络会把此 Exp 添加到它们的兵器谱中。” 来自 Check Point 的 Maya Horowitz 介绍道。

上周，Check Point 在华为 HG532 家用路由器中发现了一个漏洞（CVE-2017-17215），该漏洞允许攻击者发送恶意数据包到受影响设备的 37215 端口，以此实现远程命令执行，随后，华为发布了安全公告。

“此代码如今已被圈内大多数人知晓，就像之前公开的 SOAP Exp 一样，它将被广泛使用。” Anubhav 表示。本周四 NewSky Security 发布了一篇博文，其中概述了发现利用代码的过程。

“漏洞与 SOAP 有关，许多 IoT 设备都使用了该协议，攻击者正是借助了路由器在 UPnP/TR-064 层面的实现缺陷。” 研究人员解释道，“在 CVE-2017-17215 中，设备在实现 TR-064 时将端口 37215（UPnP）暴露在了 WAN 中，而 UPnP 框架支持固件的升级操作，因此通过注入 DeviceUpgrade 就可以实现任意命令执行。” 早前的 SOAP 问题（CVE-2014-8361 和 TR-064 漏洞）同样也被 Mirai 变种大量利用。

Check Point 研究人员补充道：“执行完命令操作后会返回默认的 HUAWEIUPNP 消息，并启动升级操作。”

而 payload 的作用则是控制 bot 节点构造 UDP 或 TCP 数据包向目标设备发起洪泛攻击。

最后，用户应更改默认的密码并通过配置路由器内置防火墙来防范针对该漏洞的攻击。

原文链接：https://threatpost.com/code-used-in-zero-day-huawei-router-attack-made-public/129260/

本文由看雪翻译小组 BDomne 编译