Pastebin 上發現華為路由器 CVE-2017-17215 漏洞 Exp

過去幾周內，Mirai 變種 Satori 攻擊了成千上萬的華為路由器，目前相關的漏洞利用程式碼已流出，研究人員警告，這些程式碼將會很快整合到各種 EK 攻擊包中，並通過殭屍網路（如 Reaper 或 IOTrooper）發動 DDoS 攻擊。

NewSky Security 研究人員 Ankit Anubhav 在週一證實了 Pastebin.com 網站上公佈的 CVE-2017-17215 利用程式碼，該程式碼是一個名為 “Nexus Zeta” 的黑客所使用的 0day，主要用於傳播 Mirai 變種 Satori（也稱為 Okiku）。

“公開程式碼意味著該漏洞將被更多的攻擊者利用，可以預見將有大量 IoT 殭屍網路會把此 Exp 新增到它們的兵器譜中。” 來自 Check Point 的 Maya Horowitz 介紹道。

上週，Check Point 在華為 HG532 家用路由器中發現了一個漏洞（CVE-2017-17215），該漏洞允許攻擊者傳送惡意資料包到受影響裝置的 37215 埠，以此實現遠端命令執行，隨後，華為釋出了安全公告。

“此程式碼如今已被圈內大多數人知曉，就像之前公開的 SOAP Exp 一樣，它將被廣泛使用。” Anubhav 表示。本週四 NewSky Security 釋出了一篇博文，其中概述了發現利用程式碼的過程。

“漏洞與 SOAP 有關，許多 IoT 裝置都使用了該協議，攻擊者正是藉助了路由器在 UPnP/TR-064 層面的實現缺陷。” 研究人員解釋道，“在 CVE-2017-17215 中，裝置在實現 TR-064 時將埠 37215（UPnP）暴露在了 WAN 中，而 UPnP 框架支援韌體的升級操作，因此通過注入 DeviceUpgrade 就可以實現任意命令執行。” 早前的 SOAP 問題（CVE-2014-8361 和 TR-064 漏洞）同樣也被 Mirai 變種大量利用。

Check Point 研究人員補充道：“執行完命令操作後會返回預設的 HUAWEIUPNP 訊息，並啟動升級操作。”

而 payload 的作用則是控制 bot 節點構造 UDP 或 TCP 資料包向目標裝置發起洪泛攻擊。

最後，使用者應更改預設的密碼並通過配置路由器內建防火牆來防範針對該漏洞的攻擊。

原文連結：https://threatpost.com/code-used-in-zero-day-huawei-router-attack-made-public/129260/

本文由看雪翻譯小組 BDomne 編譯