劫持数千家庭路由器,并将其滥用于WordPress攻击。
黑客利用CVE-2014-9222的缺陷,也被称为“不幸Cookie”,劫持数千家庭路由器,并将其滥用于WordPress攻击。
安全公司观察到来自阿尔及利亚和目标客户网站的攻击次数飙升。进一步调查显示,这次攻击是从10,000多个IP地址发起的,其中大部分与国有电信公司阿尔及利亚电信有关。
“上周,在创造” Wordfence“每月攻击报告的同时,我们注意到阿尔及利亚已经从我们的”最佳攻击国家“列表中的第60位移到了位置24.这是一个很大的跳跃,我们很好奇为什么阿尔及利亚已经爬上攻击排名迅速“阅读Wordfence发表的分析。
“我们在仔细检查中发现,阿尔及利亚有超过10,000个IP地址在3月份攻击了WordPress网站。大多数知识产权仅在整个月内发动了50次至1000次攻击。“
黑客利用阿尔及利亚电信向其客户提供的路由器中的漏洞,然后破坏了这些设备来发起暴力和其他WordPress攻击。
Wordfence在全球涉及WordPress攻击的世界各地的27家ISP中确定了受损的路由器。超过十几个这些ISP的路由器正在监听由ISP用于远程管理目的的端口7547,专家注意到所有有缺陷的设备运行的是AllegroSoft RomPager Web服务器的易受攻击的版本。
检查点软件技术公司的研究人员在2014年12月发现了这个缺陷,发现超过1200万家庭路由器受到这个问题的影响。
这个漏洞可能被攻击者利用来 对来自每个制造商的家庭路由器的流量进行中间人攻击。
一旦攻击者妥协路由器,它就可以瞄准本地网络上的任何其他设备,如智能电视或打印机。
该漏洞可以利用劫持华为,Edimax,D-Link,TP-Link,ZTE,ZyXEL等厂商制造的大量设备。
28个ISP中的14个提供的路由器容易受到不幸Cookie攻击。
根据Wordfence,在短短三天内,针对受保护的WordPress网站的所有攻击中,6.7%来自已启用端口7547的家庭路由器。
上个月,Wordfence观察到来自28个与受损路由器相关的ISP的超过90,000个唯一IP地址,其中大多数在长达48小时的过程中产生的攻击次数不到1,000次,之后它们停止。
“在过去的一个月中,我们在28个ISP上看到超过90,000个独特的IP地址,这符合我们的受损路由器攻击格局。我们通过我们的客户网站监控这些攻击,这是200多万网站的攻击面。“Wordfence表示。“我们只看到所有网站全球经历的攻击样本。如果您推断数字,则表示存在非常多的受损的ISP路由器,在那里进行攻击并表现出一致性。
WordFence发布了一个免费的在线工具,可用于检查路由器是否已打开端口7547。
2017年4月13日 By Pierluigi Paganini
官方
3.18K篇文章
194.22M总阅读量
