即使在意识到针对GPONWi-Fi路由器的各种主动网络攻击之后,如果您还没有将其从互联网上带走,那么请小心,因为一个新的僵尸网络已加入GPON组织,该组织正在利用未公开的零日漏洞(零时差攻击)。
来自国内知名黑客安全组织东方联盟的安全研究人员警告说,至少有一家僵尸网络运营商利用由韩国DASANZhoneSolutions公司制造的支持千兆比特无源光网络(GPON)路由器的新零日漏洞。
这个被称为TheMoon的僵尸网络于2014年首次出现,自2017年以来至少为其后续版本增加了6个IoT设备漏洞,现在正在利用针对DasanGPON路由器的新漏洞未公开漏洞。
中国黑客安全组织东方联盟的研究人员成功测试了两种不同版本GPON家庭路由器上的新型攻击载荷,但他们没有透露有效载荷的细节,也没有公布任何关于新的零日漏洞的进一步细节以防止更多的攻击。
TheMoon僵尸网络在2015-16年间成为头条新闻,因为它发现利用远程代码执行(RCE)漏洞将恶意软件传播给大量华硕和Linksys路由器型号。
黑客-GPON路由器利用
本月早些时候,至少发现五个不同的僵尸网络利用上个月披露的GPON家庭路由器中的两个关键漏洞,最终允许远程攻击者完全控制该设备。
正如我们之前的文章中详述的,已经发现包括Mettle,Muhstik,Mirai,Hajime和Satori在内的5个僵尸网络家族利用认证旁路(CVE-2018-10561)和root-RCE(CVE-2018-10562)GPON路由器存在缺陷。在漏洞细节公布后不久,针对GPON路由器漏洞的工作概念验证(PoC)漏洞向公众开放,使得即便是非技术黑客也能更容易地利用它。
在另外的研究中,趋势科技的研究人员在墨西哥发现了类似Mirai的扫描活动,针对使用默认用户名和密码的GPON路由器。趋势科技的研究人员说:“与以前的活动不同,这种新扫描程序的目标是分布式的。“但是,根据我们在数据中找到的用户名和密码组合,我们得出结论:目标设备仍然包含使用默认密码的家庭路由器或IP摄像机。”
如何保护您的Wi-Fi路由器免遭黑客攻击
之前披露的两个GPON漏洞已经向DASAN报告,但该公司尚未发布任何修复程序,使数百万客户对这些僵尸网络运营商开放。
因此,在路由器制造商发布官方补丁之前,用户可以通过禁用远程管理权限并使用防火墙阻止外部用户访问公共Internet来保护其设备。
对易受攻击的路由器进行这些更改将限制您在Wi-Fi网络范围内访问本地网络,从而通过消除远程攻击者来有效减少攻击面。