导语:黑客希望爆破攻击能够猜出后台的管理员账号密码,从而控制受攻击网站。路由器在这场攻防游戏中扮演着重要角色。它使得攻击者拥有海量的IP地址去进行攻击,绕过网站防火墙和黑名单等防御机制。
攻击者们正在劫持网络上存在安全缺陷的家庭路由器,命令这些设备向使用WordPress系统网站的后台入口发起爆破攻击。黑客希望爆破攻击能够猜出后台的管理员账号密码,从而控制受攻击网站。
路由器在这场攻防游戏中扮演着重要角色。它使得攻击者拥有海量的IP地址去进行攻击,绕过网站防火墙和黑名单等防御机制。
7547端口劫持
发现这起事件的是WordPress安全防护公司Wordfence。他们透露,攻击者们利用路由管理协议TR-069的安全漏洞,向使用该协议路由器的7547端口发送恶意流量,直接控制了设备(CVE-2014-9222、TR-069 Bug)。
TR-069协议常见于运营商送的路由器。过去四年里,这个协议至少爆光过两个严重安全漏洞。
Wordfence安全专家说,控制路由后,攻击者会指示每个路由发送几次密码尝试,以防止网站发现。
目前尚不清楚僵尸网络的规模,可能不止一个僵尸网络。WordFence称,2017年3月针对WordPress网站的爆破攻击,有6.7%是由联网的家庭路由器透过7547端口发起,
28个宽带运营商被“参与”
这家安全公司在全球范围追踪,发现有28个宽带运营商存在问题,其中14个存在大量7547端口对外开放的路由器。根据Wordfence统计,共计有将近10万台路由器受影响。
相关的攻击最终定位到问题路由器:ZyXEL ZyWALL 2。这款路由器过往曾曝光过TR-069协议漏洞。
去年年底,一名黑客在英德两国的运营商网络中劫持了超过一百万台路由器,意图添加到他的Mirai僵尸网络来提供DDoS租用服务,当时有许多就是ZyXEL。英国警方今年2月还逮捕了一个相关人士。
ISP可以阻断攻击
长期以来,安全专家一致建议用户不要开放路由器7547端口,考虑到绝大多数家庭用户都没有经过技术培训,这类建议在99.99%的时候是无效的。而且大部分路由也不支持这样做。
WordFence提出了可行建议,他们认为ISP们应该过滤掉互联网上关于7547端口的流量。
公司CEO Mark Maunder表示,运营商可以设置白名单,仅允许自家自动配置服务到用户设备的流量通过。
路由器是家庭网络的弱点
这不是家庭路由第一次被人用来干坏事。去年,一个团伙使用藏在广告里的恶意JavaScript代码劫持了166种不同型号的家庭路由,并进而将使用路由的用户重定向到恶意网站去,或者更换网站的广告内容。
上周,ESET发现一个通过BT种子感染电脑的僵尸网络Sathurbot,它也是专门用于向WordPress网站发起爆破攻击的。