德國(guó)電信近日遭遇網(wǎng)絡(luò)攻擊，超90萬(wàn)路由器無(wú)法聯(lián)網(wǎng)，德國(guó)電信方面已經(jīng)確認(rèn)了此事。斷網(wǎng)事故始于當(dāng)?shù)貢r(shí)間11月27日（周日）17：00左右，持續(xù)數(shù)個(gè)小時(shí)。周一上午08：00，再次出現(xiàn)斷網(wǎng)問(wèn)題。除了聯(lián)網(wǎng)服務(wù)外，德國(guó)電信用戶(hù)還用這些路由器來(lái)連接電話(huà)和電視服務(wù)。

事件影響全國(guó)范圍內(nèi)的眾多用戶(hù)，具體影響范圍如下圖所示：

當(dāng)?shù)貢r(shí)間周一12：00，德國(guó)電信在Facebook上放出通告稱(chēng)，其2千萬(wàn)用戶(hù)已將問(wèn)題解決，但其用戶(hù)反映無(wú)法聯(lián)網(wǎng)的問(wèn)題依舊存在。

到底發(fā)生了什么？

根據(jù)德國(guó)媒體abendblatt.de報(bào)道：

“德國(guó)聯(lián)邦信息技術(shù)安全局（BSI）發(fā)現(xiàn)，在某個(gè)全球范圍內(nèi)的攻擊發(fā)生之后，德國(guó)電信路由器出現(xiàn)了無(wú)法聯(lián)網(wǎng)的問(wèn)題?！?/p>

“根據(jù)BSI的說(shuō)法，在受保護(hù)的政府網(wǎng)絡(luò)中也發(fā)生了上述攻擊，但得益于有效的保護(hù)措施，政府網(wǎng)絡(luò)受到的攻擊被擊退?！蹦壳暗聡?guó)電信并未提供攻擊的技術(shù)細(xì)節(jié)，也沒(méi)有透露受影響的路由器型號(hào)。目前尚不清楚，哪種威脅攻擊了德國(guó)電信的路由器，專(zhuān)家推測(cè)可能有惡意軟件劫持了路由器，阻止路由器聯(lián)網(wǎng)——推測(cè)此惡意軟件為Mirai的變種，甚至還將這些路由器都變身為僵尸網(wǎng)絡(luò)的一員。

來(lái)自SANS Institute的報(bào)道，目前德國(guó)電信和路由器供應(yīng)商已聯(lián)合開(kāi)發(fā)并發(fā)布固件補(bǔ)丁。

德國(guó)電信客服部門(mén)建議用戶(hù)斷開(kāi)設(shè)備，等待30秒，重啟路由器。在啟動(dòng)過(guò)程中，路由器將從德國(guó)電信服務(wù)器上下載最新固件。如果這個(gè)方法無(wú)法讓路由器恢復(fù)連接，那么建議將路由器從德國(guó)電信網(wǎng)絡(luò)徹底斷開(kāi)。

除此之外，德國(guó)電信還提供免費(fèi)移動(dòng)網(wǎng)絡(luò)，直至技術(shù)問(wèn)題解決為止。

相關(guān)分析

實(shí)際上德國(guó)電信并沒(méi)有公布這次網(wǎng)絡(luò)攻擊的技術(shù)細(xì)節(jié)，甚至連究竟有哪些路由器受到影響都沒(méi)提。有專(zhuān)家推測(cè)這次的攻擊應(yīng)該是惡意軟件阻止了哪些路由器連接到德國(guó)電信的網(wǎng)絡(luò)。

不過(guò)SANS ISC的安全專(zhuān)家周一早晨發(fā)布了一篇報(bào)告，其中提到針對(duì)Speedport路由器的7547端口進(jìn)行SOAP遠(yuǎn)程代碼執(zhí)行漏洞的掃描和利用，近期發(fā)生了急劇增長(zhǎng)。而Speedport路由器正是德國(guó)電信用戶(hù)廣泛使用的型號(hào)。

報(bào)告中還說(shuō)，德國(guó)電信與Eircom（愛(ài)爾蘭運(yùn)營(yíng)商）為用戶(hù)提供的路由器都存在漏洞——這些路由器是由Zyxel和Speedport制造的，另外可能還有其他制造商。

這些設(shè)備將互聯(lián)網(wǎng)端口7547暴露給外部網(wǎng)絡(luò)，漏洞利用過(guò)程基于TR-069和相關(guān)的TR-064協(xié)議來(lái)發(fā)出命令，原本ISP運(yùn)營(yíng)商是用這些協(xié)議來(lái)遠(yuǎn)程管理大量硬件設(shè)備的。

“過(guò)去幾天中，對(duì)7647端口的攻擊大大增多。這些掃描似乎利用了流行的DSL路由器中的漏洞。這個(gè)問(wèn)題可能已經(jīng)導(dǎo)致德國(guó)ISP運(yùn)營(yíng)商德國(guó)電信出現(xiàn)嚴(yán)重問(wèn)題，并可能影響其他人（考慮到美國(guó)那邊還是周末）。對(duì)于德國(guó)電信，Speedport路由器似乎是這次事件的主要問(wèn)題。

“通過(guò)Shodan搜索，可以發(fā)現(xiàn)目前約4100萬(wàn)個(gè)設(shè)備開(kāi)放7547端口。代碼似乎是來(lái)自Mirai僵尸網(wǎng)絡(luò)。目前，從蜜罐服務(wù)器的數(shù)據(jù)來(lái)看，針對(duì)每個(gè)目標(biāo)IP，每5-10分鐘就會(huì)收到一個(gè)請(qǐng)求?！?/p>

以下是安全專(zhuān)家捕獲的請(qǐng)求：

根據(jù)SANS ISC發(fā)布的報(bào)告，攻擊者試圖利用TR-069配置協(xié)議中的一個(gè)漏洞。專(zhuān)家表示可利用一個(gè)Metasploit模塊，實(shí)現(xiàn)該漏洞的利用。POC如下所示：

https://www.exploit-db.com/exploits/40740/

其實(shí)在本月月初的時(shí)候，就有研究人員公布了利用TR-064服務(wù)的攻擊代碼。作為Metasploit開(kāi)發(fā)框架的模塊，攻擊代碼會(huì)開(kāi)啟遠(yuǎn)程管理web界面的80端口。那些用了默認(rèn)或者弱密碼的設(shè)備，就會(huì)被遠(yuǎn)程利用，加入到僵尸網(wǎng)絡(luò)中，發(fā)起DoS攻擊了。

又和Mirai僵尸網(wǎng)絡(luò)有關(guān)

來(lái)自BadCyber的研究人員分析了攻擊中的惡意payload，發(fā)現(xiàn)就是源自于一臺(tái)已知的Mirai C&C服務(wù)器。

“利用TR-064命令在路由器上執(zhí)行代碼，是直到本月11月初的研究報(bào)告才第一次提到的，幾天之后就有相關(guān)的Metasploit模塊出現(xiàn)了。似乎就是有人要將它打造成武器，基于Mirai代碼構(gòu)建互聯(lián)網(wǎng)蠕蟲(chóng)。”

為了感染盡可能多的路由器，惡意程序包含了3個(gè)獨(dú)立的利用文件，其中兩個(gè)為那些采用MIPS芯片的設(shè)備準(zhǔn)備，另外一個(gè)則是針對(duì)采用ARM芯片的路由器。惡意payload利用漏洞來(lái)開(kāi)啟遠(yuǎn)程管理界面，然后使用3個(gè)不同的默認(rèn)密碼來(lái)嘗試登錄。

攻擊過(guò)程隨后會(huì)關(guān)閉7547端口，以阻止其他惡意程序控制設(shè)備。

busybox iptables -A INPUT -p tcp –destination-port 7547 -j DROP

busybox killall -9 telnetd

其上第一條命令關(guān)閉了7547端口，而第二條命令則是禁用了telnet服務(wù)——這樣一來(lái)ISP運(yùn)營(yíng)商要進(jìn)行設(shè)備遠(yuǎn)程升級(jí)也就有難度了。

代碼中的登錄用戶(hù)名和密碼經(jīng)過(guò)了混淆，和Mirai所用的算法一致。C&C服務(wù)器也在timeserver.host域名下——這也是臺(tái)Mirai服務(wù)器。而且連掃描IP的偽隨機(jī)算法，看起來(lái)都直接復(fù)制了Mirai的源碼。

“看起來(lái)這款?lèi)阂獬绦虻淖髡哒瞻崃薓irai代碼，將之與其Metasploit模塊進(jìn)行了融合，最終產(chǎn)出了這款蠕蟲(chóng)?！?/p>

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。