在上周,安全专家发现约10万的IP地址在三天时间内疯狂扫描存在安全漏洞的ZyXEL PK5001Z路由器,经调查发现该行动的罪归祸首是Mirai僵尸网络的变种。在10月31日,一个ZyXEL PK5001Z调制解调器的后门被发现存在安全漏洞PoC,随即被公布至全球漏洞库网站中。该漏洞实际上早在2016年就已经公开,代号为CVE-2016-10401。
ZyXEL中文名“合勤”,它是一家台湾地区的企业专门为企业用户提供DSL路由器等设备,因此台湾地区很可能成为受本次漏洞影响的重灾区。安全专家表示称,此次僵尸网络活动激增的原因就是由于PoC漏洞利用代码,该代码于10月31日被使用,攻击者利用该漏洞能够通过ZyXEL PK5001Z路由器使用硬编超级用户密码来提权至Root权限。
ZyXEL PK5001Z调制解调器被发现的漏洞是由于后门账户(用户名:admin;密码:centuryl1nk)能通过su切换用户语法来将普通用户切换为拥有对根目录有访问权限的超级账户,因此利用该漏洞攻击者就能很快入侵设备并收集数据。
此外根据报告显示,在2017年11月22日的上午11点,攻击者开始发动僵尸网络,ScanMon系统端口2323和端口23扫描流量大幅提升,近10万个来自阿根廷的的IP在疯狂扫描,这些IP工作过程中在不断寻找搜索存在漏洞的ZyXEL设备,并在11月23日白天达到峰值。
不过好消息是,使用ZyXEL PK5001Z路由器的用户不必过于紧张,如遇到Mirai僵尸程序攻击的情况时,及时将受感染设备重启便可根据该程序,因为Mirai僵尸程序不具备持续机制,所以这是目前最好的解决办法。