I løpet av jula skal en trusselaktør ha gjort en relativt ny angrepskode fritt tilgjengelig på Pastebin-tjenesten. Angrepskoden utnytter sårbarheten CVE-2017-17215 i bredbåndsrutere av typen Huawei HG532, som Check Point varslet Huawei om i slutten av november i fjor. Angrepskoden har ifølge NewSky Security allerede blitt brukt i to separate botnettangrep, kalt henholdsvis Satori og Brickerbot.
Men nå som Brickerbot-koden er gjort tilgjengelig for alle, er det trolig høy sannsynlighet for at den vil bli brukt i langt flere angrep, fordi tilgjengeligheten gjør det relativt enkelt for «script kiddies» og «copy-paste»-botnetteiere å utnytte mulighetene til å utføre egne angrep.
Bakgrunn: Advarer mot kommende botnett-storm
Skrekkeksempelet
Mange har Mirai-botnettet friskt i minne. Dette ble blant annet brukt til det som den gang var tidenes største DDoS-angrep, rettet mot sikkerhetsbloggen til Brian Krebs.
Da koden til Mirai-koden ble frigitt i oktober i fjor, uttrykte NorSIS bekymring. Det var det all grunn til, for koden har i ettertid blitt brukt i mange nye botnett, helt fram til nå. Og ingenting tyder på at det er helt slutt ennå. Også angrepskoden som nå har blitt lekket, anses som en slags variant av Mirai.
De nevnte Huawei-ruterne kan angripes og infiseres via nettverksport 37215, som er eksponert ved hjelp av Universal Plug and Play (UPnP) via WAN-grensesnittet til disse ruterne. Det vil være enkelt for internettleverandører å sperre denne porten, men det må selvfølgelig gjøres før ruterne har blitt infisert.
Også nettverksporten 52869 skal ha blitt brukt i en del slike angrep.
Leste du denne? Det beryktede Mirai-botnettet ble skapt av tre amerikanske hackere
Hundretusener
Det er uklart hvor mange slike Huawei-rutere det finnes i verden, men Shodan-søk som ble utført i desember i forbindelse med Satori-utbruddet, fant drøyt 227.000 slike berørte enheter på internett.
Men samme dag som Satori tok av, skal antallet unike IP-adresser om begynte å skanne etter port 37215 ha steget fra omtrent null til mer enn 263 000 i løpet av tolv timer. Det antyder hvor raskt infeksjonene skjedde, og at Satori-skadevaren kunne spres som en orm, altså direkte fra enhet til enhet.
Men like mye forteller dette at det er et betydelig antall enheter som potensielt kan brukes i blant annet DDoS-angrep mot spesifikke aktører eller infrastruktur.
Les også: Hackere hevder å ha ødelagt 10 millioner usikre enheter koblet til internett