网络攻击使近100万路由器离线

上个月，Mirai僵尸网络让整个互联网瘫痪了几个小时，使世界上一些最大、最受欢迎的网站瘫痪。

如今，德国电信用户的90多万台宽带路由器在一次所谓的网络攻击后于周末下线，影响了该国的电话、电视和互联网服务。

德国互联网服务提供商德国电信（Deutsche Telekom）在Facebook上证实，多达90万名客户在周日和周一遭遇互联网中断。该公司为约2000万名客户提供各种服务。

据称，Zyxel和Speedport生产的路由器存在严重的远程代码执行漏洞，数百万路由器容易受到该漏洞的攻击，其中Internet端口7547打开，以接收基于TR-069和相关TR-064协议的命令，ISP将使用这些协议远程管理您的设备。

爱尔兰互联网服务提供商Eircom部署的Eir D1000无线路由器（改名为Zyxel Modem）也存在同样的漏洞，但没有迹象表明这些路由器被积极利用。

根据Shodan search的数据，大约4100万台设备使7547端口保持开放，而大约500万台设备将TR-064服务对外开放。

根据SANS Internet Storm Center发布的一条建议，伪装成易受攻击路由器的蜜罐服务器每5-10分钟就会收到针对每个目标IP的攻击代码。

截获的数据包显示了<；NewNTPServer>；SOAP请求的一部分用于下载和执行文件，以便感染易受攻击的设备。

BadCyber的安全研究人员还分析了攻击期间传递的一个恶意有效载荷，发现攻击源于已知的Mirai的命令和控制服务器。

BadCyber在一篇博客文章中写道：“11月初，首次描述了TR-064命令在路由器上执行代码的不寻常应用，几天后出现了一个相关的Metasploit模块。”。“看起来有人决定将其武器化，并根据Mirai代码创建一个互联网蠕虫。”

这一切都始于10月初，当时一名网络犯罪分子公开发布了Mirai的源代码，Mirai是一种恶劣的物联网恶意软件，旨在扫描不安全的物联网设备；主要是路由器、摄像头和DVR–；并将其奴役到僵尸网络中，然后用于发起DDoS攻击。

黑客创建了三个单独的漏洞文件，以便感染三种不同的体系结构：两种运行不同类型的MIPS芯片，另一种使用ARM silicon。

恶意有效载荷打开远程管理界面，然后尝试使用三种不同的默认密码登录。完成此操作后，该漏洞会关闭端口7547，以防止其他攻击者控制受感染的设备。

研究人员说：“在蠕虫代码中，登录名和密码被模糊（或“加密”）的算法与Mirai相同。”。“C&C服务器位于timeserver.host域名下，可以在Mirai tracker列表中找到。”

有关该漏洞的更深入的技术细节可以在ISC SAN、卡巴斯基实验室和反向工程博客上找到。
德国电信为其两款Speedport宽带路由器发布了紧急补丁–；Speedport W 921V，Speedport W 723V B型和#8211型；目前正在推出固件更新。

该公司建议其客户关闭路由器电源，等待30秒，然后重新启动路由器，以便在启动过程中获取新固件。

如果路由器无法连接到该公司的网络，建议用户永久断开设备与网络的连接。

为了弥补停机时间，ISP还通过移动设备向受影响的客户提供免费互联网接入，直到技术问题得到解决。