Ранее в этом месяце ИБ-специалисты предупреждали, что роутеры Dasan GPON подвержены сразу двум серьезным уязвимостям, патчей для которых на тот момент не существовало: CVE-2018-10561 и CVE-2018-10562 (обход аутентификации и удаленное исполнение произвольного кода). Тогда эксперты пришли к выводу, что за право заразить роутеры Dasan GPON малварью уже соревнуются не отдельные хакерские группы, но сразу пять крупных ботнетов: Hajime, Mettle, Mirai, Muhstik и Satori.
Теперь специалисты Qihoo 360 Netlab сообщают, что операторы еще одного ботнета эксплуатируют не только вышеупомянутые уязвимости, но и ранее неизвестный 0-day баг. Пока эксперты не раскрывают деталей новой проблемы, однако пишут, что уже протестировали пейлоад на двух различных моделях роутеров Dasan GPON, и тот отлично сработал.
По данным специалистов, за атаками на уязвимость нулевого дня стоит ботнет TheMoon, известный экспертам с 2014 года. Раньше он заражал преимущественно серверы Linux, но в последнее время переключился на различные IoT-устройства.
Напомню, что изначально ИБ-эксперты предупреждали о том, что в сети можно обнаружить порядка миллиона уязвимых устройств Dasan GPON, но представители производителя опровергли эти данные, заявив, что проблемных роутеров насчитывается около 240 000. Более того, ранее специалисты уже установили, что далеко не все эксплоиты вышеперечисленных ботнетов работают эффективно и действительно заражают роутеры малварью. Из-за этого, по подсчетам Qihoo 360 Netlab, в настоящее время лишь 2% роутеров стали жертвами ботнетов, «охотящихся» на уязвимые девайсы. К сожалению, эксперты полагают, что обнаружение 0-day бага может существенно изменить эту статистику.