国外安全研究人员发现,近期一款新型的新型恶意僵尸网络BotenaGo已经瞄准了数百万路由器和物联网设备,并且已经在开始感染,企业安全人员应高度重视。
截止到目前,安全研究人员已经发现BotenaGo获取了各种路由器、调制解调器和 NAS设备上的33个漏洞,这也是它能够快速扩散的原因。
以下是部分存在漏洞的设备,AT&T安全研究人员建议企业和用户立即进行更新:
- CVE-2015-2051、CVE-2020-9377、CVE-2016-11021:D-Link 路由器
- CVE-2016-1555、CVE-2017-6077、CVE-2016-6277、CVE-2017-6334:Netgear 设备
- CVE-2019-19824:基于 Realtek SDK 的路由器
- CVE-2017-18368、CVE-2020-9054:Zyxel 路由器和 NAS 设备
- CVE-2020-10987:腾达产品
- CVE-2014-2321:中兴通讯调制解调器
- CVE-2020-8958:广州 1GE ONU
AT&T安全研究人员在研究、分析了该僵尸网络后表示,它的目标就是存在漏洞的那些设备,初步估计至少有数百万。
之所以这么说,是因为安全人员在搜索关键词“Boa”时,发现这个已经停用了的,嵌入式应用的开源web服务器,在Shodan上依旧有接近200万的设备正在使用。毫无疑问,这些设备都存在漏洞,很有可能遭受BotenaGo的攻击。
Shodan 搜索在 Boa 上返回了 200 万条结果
另一个值得注意的情况是CVE-2020-10173漏洞,这是已经发现了的,Comtrend VR-3033 网关设备中的一个命令注入缺陷,但是依旧还有250,000台路由器正在使用。恶意软件会实时关注两个端口(31412 和 19412),并向其发送IP地址,而一旦收到IP地址,BotenaGo会利用该IP地址上的漏洞获得访问权限。
BotenaGo使用Golang语言
研究中,安全人员发现BotenaGo的编程语言是当下十分流行的Golang (Go),这将大大提升BotenaGo的隐蔽性。
以 BotenaGo 为例,VirusTotal 上的 62 个 AV漏扫工具只有 6 个将样本标记为恶意,有些将其识别为 Mirai,其余都没有识别出来,其中很大的原因就是因为使用了Golang语言。
事实上,Golang已经逐渐成为当下编程的主流语言,是腾讯最喜欢用的第二大编程语言,并且还在上升;字节跳动更是直接以Golang语言为主,55%以上的产品和服务是使用Golang语言进行编程。
Golang语言源于谷歌的内部项目,由三位名声赫赫的资深开发者创造:其中罗伯特·格瑞史莫是谷歌V8引擎的负责人;罗勃·派克和肯·汤普逊共同开发了Unix 环境并共同创建了Limbo编程语言。
如今,Golang语言已经有超越Python的趋势,不仅越来越的程序员使用它,就连很多黑灰产也开始用它编程。
但对于安全厂商和人员来说,这是一个新的挑战:针对这些新型的恶意软件和僵尸网络,是否已经及时对安全产品进行更新、迭代,或者是开发针对性的安全产品,进一步强化安全能力。
参考来源:
https://www.bleepingcomputer.com/news/security/botenago-botnet-targets-millions-of-iot-devices-with-33-exploits/
