国外安全研究人员发现,最近一个新的恶意僵尸网络BotenaGo已瞄准数百万路由器和物联网设备,并已开始感染,企业安全人员应高度重视。
到目前为止,安全研究人员已经发现BotenaGo获得各种路由器、调制解调器和 NAS设备上有33个漏洞,这就是为什么它能迅速扩散。
以下是一些有漏洞的设备,AT&T安全研究人员建议企业和用户立即更新:
- CVE-2015-2051、CVE-2020-9377、CVE-2016-11021:D-Link 路由器
- CVE-2016-1555、CVE-2017-6077、CVE-2016-6277、CVE-2017-6334:Netgear 设备
- CVE-2019-19824:基于 Realtek SDK 的路由器
- CVE-2017-18368、CVE-2020-9054:Zyxel 路由器和 NAS 设备
- CVE-2020-10987:腾达产品
- CVE-2014-2321:中兴通讯调制解调器
- CVE-2020-8958:广州 1GE ONU
AT&T在研究和分析僵尸网络后,安全研究人员表示,其目标是存在漏洞的设备,最初估计至少有数百万。
之所以这么说,是因为安全人员在搜索关键词“Boa”当时发现嵌入式应用的开源已经停用web服务器,在Shodan使用仍有近200万台设备。毫无疑问,这些设备都有漏洞,很可能会遭受痛苦BotenaGo的攻击。
Shodan 搜索在 Boa 回到 200万个结果
另一个值得注意的情况是CVE-2020-10173已经发现了漏洞,Comtrend VR-3033 网关设备中的一个命令注入了缺陷,但仍有2.5万台路由器在使用。恶意软件将实时关注两个端口(31412 和 19412),并发送给它IP一旦收到地址IP地址,BotenaGo会利用该IP访问地址上的漏洞。
BotenaGo使用Golang语言
在研究中,安全人员发现BotenaGo编程语言目前非常流行Golang (Go),这将大大提高BotenaGo的隐蔽性。
以 BotenaGo 为例,VirusTotal 上 62 个 AV只有 6 个漏扫工具将样本标记为恶意,有的认定为 Mirai,其余的都没有识别出来,很大的原因是使用了Golang语言。
事实上,Golang它已逐渐成为当前编程的主流语言,是腾讯最喜欢的第二大编程语言,仍在上升;字节跳动是直接的Golang以语言为主,使用55%以上的产品和服务Golang编程语言。
Golang语言起源于谷歌的内部项目,由三位著名的高级开发商创造:罗伯特·谷歌是格瑞史莫V8引擎负责人;罗勃·派克和肯·汤普逊共同开发Unix 环境共同创造Limbo编程语言。
如今,Golang语言已经超越Python不仅越来越多的程序员使用它,许多黑灰生产也开始使用它进行编程。
但对于安全制造商和人员来说,这是一个新的挑战:这些新的恶意软件和僵尸网络是否及时更新和迭代安全产品,或开发有针对性的安全产品,以进一步加强安全能力。
参考来源:
https://www.bleepingcomputer.com/news/security/botenago-botnet-targets-millions-of-iot-devices-with-33-exploits/