华为iot设备cve-k8凯发棋牌

satori和brickerbot攻击中被使用的华为路由器exp被圣诞老人公布在了pastebin上。

介绍

根据newsky security的博客，黑客在pastebin上公开发布了华为漏洞cve-2017-17215的exp代码。这个漏洞已经被两个不同的物联网僵尸网络用来攻击，即satori和brickerbot。

cve-2017-17215漏洞存在于华为hg532路由器中，由checkpoint研究员在satori零日攻击中发现，他们并没有公开poc代码，以防被黑客使用。但由于最近攻击代码被公开，黑客更容易进行大规模攻击。

brickerbot和satori的exp比较

有趣的是，satori并不是唯一一个利用这个漏洞的僵尸网络。12月初，brickerbot拥有者janitor表示要退休，然后发布了brickerbot源代码片段。分析代码时，研究人员同样发现了cve-2017-17215的使用痕迹，也就是黑客一直有在用这个漏洞。下图中，我们可以看到来自泄漏的brickerbot代码的片段，其中在中存在命令注入，在soap请求的属性中看到“echo huaweiupnp”。这个命令注入就是cve-2017-17215漏洞的基础。

brickerbot僵尸网络的代码片段

我们与satori僵尸网络的二进制数据进行比较。不仅我们在中看到相同的攻击向量，即代码注入，而且还看到另一个“echo huaweiupnp”字符串，这意味着satori和brickerbot都从同一个源复制了漏洞源代码。

satori僵尸网络代码片段

所有这些信息也存在于pastebin泄露的工作漏洞代码中，如下所示。

漏洞利用代码片段

soap问题频出

这不是iot僵尸网络第一次出现与soap协议相关的问题。今年早些时候，研究人员使用两个分别位于和中的soap漏洞（cve-2014-8361和tr-64）观察了几个mirai分支。下图中，我们看到了一个mirai变体，这两个漏洞被一起使用，以增加成功攻击的机会。

mirai变体代码片段

当涉及到与soap协议有关的漏洞时，即使windows也未能幸免。我们看到过与cve-2017-8759相关的攻击，其中根本原因是ms word调用了使用wsdl的soap处理程序，而解析错误引发代码注入，把rtf变成病毒。

修复方案

目前华为已提供相关补丁。读者可移步华为k8凯发棋牌官网查看细节。

* 参考来源：newsky，作者sphinx，来自freebuf.com