Специалисты компании Wordfence обнаружили, что уязвимые роутеры массово используются для брутфорса сайтов, работающих под управлением WordPress.
Эксперты заметили нечто странное в прошлом месяце, когда количество атак на сайты в Алжире неожиданно возросло на порядок, из-за чего страна, обычно находящаяся в районе 60 места в рейтинге Wordfence, переместилась на 24 место. Более пристальное рассмотрение проблемы выявило, что алжирские сайты, работающие под управлением WordPress, были атакованы 10 000 разных IP-адресов. Хуже того, 97% из них принадлежали местному государственному провайдеру Telecom Algeria.
Как оказалось, злоумышленники массово компрометируют роутеры, которые Telecom Algeria предоставляет своим клиентам. В частности исследователи обнаружили 1501 уязвимый роутер ZyXEL ZyWALL 2, принадлежащий провайдеру. Проблемы данных девайсов известны давно: они слушают 7547 порт и уязвимы для атак с помощью протокола TR-069. В 2016 году из-за этого бага пострадали более миллиона пользователей германских и британских провайдеров, когда устройства атаковала IoT-малварь Mirai.
Однако одним лишь алжирским провайдером дело не ограничилось. Исследователи установили, что похожая ситуация наблюдается у 27 других провайдеров из разных стран мира, включая российские компании «Ростелеком» и «Мегафон».
Роутеры 14 провайдеров из данного списка слушают порт 7547 и работают с уязвимой версией веб-сервера Allegro RomPager 4.07 UPnP|1.0. Дело в том, что RomPager ниже версии 4.34 содержит уязвимость CVE-2014-9222, так известную под названием Misfortune Cookie. Данный баг был выявлен еще в 2014 году и с его помощью можно скомпрометировать девайсы Huawei, Edimax, D-Link, TP-Link, ZTE, ZyXEL и так далее.
В итоге уязвимые роутеры превращаются в мощный инструмент на службе злоумышленников. Исследователи Wordfence пишут, что только за последние три дня уязвимые роутеры с открытым портом 7547 сгенерировали 6,7% всего вредоносного трафика, направленного на WordPress-сайты. Суммарно за время проведения расследования эксперты зафиксировали атаки, исходящие более чем с 90 000 IP-адресов, принадлежащих различным провайдерам, которые используют уязвимые роутеры. По словам специалистов, все может стать куда хуже, ведь по данным Shodan, в интернете можно обнаружить не менее 41 млн устройств, слушающих порт 7547, а протокол TR-069 широко используется провайдерами по всему миру.
Разработчики Wordfence подготовили простой онлайновый инструмент, с помощью которого любой может проверить свой роутер на предмет уязвимости через 7547 порт.
Фото: Depositphotos