Еще в 2014 году в роутерах китайского производителя Netis был обнаружен бэкдор. Проблема заключалась в том, что роутеры компании всегда имели отрытый порт UDP, что позволяло атакующим добраться до внутренней сети, используя WAN-интерфейс устройства и жестко закодированный пароль, обнаруженный в прошивке.
Хотя вскоре после обнаружения проблемы разработчики Netis выпустили патч, устранить уязвимость до конца они так и не сумели, так как жестко закодированный в прошивке аккаунт так и не был удален до конца. Хакеры быстро придумали, как обойти патч, и эксплоиты для этой уязвимости стали появляться массово, к примеру, вот один из них, опубликованный на PasteBin.
Специалисты Trend Micro продолжают следить за ситуацией вокруг данного бэкдора даже два года спустя. Согласно новому отчету компании, опубликованному 21 ноября 2016 года, семейство роутеров Netis по-прежнему подвергается атакам со стороны злоумышленников. В августе текущего года аналитики компании добавили фильтр DV filter 32391 к другим фильтрам TippingPoint Digital Vaccine, что позволяло им отлеживать попытки атак и эксплуатации уязвимости.
Собранная за прошедшие месяцы статистика удручает. С августа месяца было зафиксировано более 2,9 млн попыток эксплуатации бреши. Так как данная статистика охватывает только 5% пользовательской базы компании, экстраполяция данного числа на всех пользователей дает приблизительно 57 миллионов атак за три месяца.
Исследователи пишут, что большинство срабатываний фильтра были вызваны рекурсивными попытками поиска уязвимых девайсов. Атакующие автоматизировали поиск уязвимых роутеров, и как только сканер обнаруживает уязвимый порт, производится попытка ввода учетных данных бэкдор-аккаунта.
Подсчитать точное количество уязвимых роутеров оказалось довольно трудно. Аналитики другой компании, Shadowserver Foundation, сообщают, что смогли идентифицировать более 15 000 взломанных роутеров, чего вполне достаточно для формирования ботнета.
Словом, исследователи в очередной раз доказали, что с безопасностью в сфере интернета вещей дела обстоят очень плохо. IoT-устройства поставляются уязвимыми, а обновлять их, даже если новые прошивки и патчи существуют, зачастую слишком сложная задача для рядового пользователя. К тому же, можно попросту не успеть. К примеру, недавно исследователь Errata Security провел интересный эксперимент и засек время, за которое новенькая камера наблюдения, произведенная JideTech, будет скомпрометирована после подключения к сети. Не прошло и пяти минут, как устройство было заражено Mirai. От момента подключения, до первой стадии заражения прошло всего 98 секунд.
1/x: So I bought a surveillance camera pic.twitter.com/HbmPzrZgFK
— Rob Graham ? (@ErrataRob) November 18, 2016
