Desde nuestro laboratorio hemos podido comprobar que la vulnerabilidad está presente en muchos de ellos, demostrando la sencillez y peligrosidad de este ataque y que lo hace muy apetecible para cualquier tipo de botnet:
Los routers afectados son, principalmente, la familia Zhone 25xx (como el Zhone ZNID GPON 2516) y la serie GPON H640:
Objetivo de botnets: Muhstik y Mirai
Como comentábamos, esta vulnerabilidad bastante sencilla de explotar, ya está siendo activamente utilizada por las botnets Muhstik, Mirai y variantes. Los investigadores de Netlab 360, han demostrado la gran actividad relacionada con estos dispositivos y su uso en este tipo de botnets, publicando varios IOCs y características de la botnet Muhstik, en concreto.
Fortunately, the current attack payloads from muhstik, mirai, hajime, and satori, have been tested to be broken and will not implant malicious code.
Soluciones o contramedidas
Para corregir esta vulnerabilidad y dado que la mayoría de estos dispositivos son bastantes antiguos, como comenta DZS, es necesario contactar con nuestro operador para que, o bien sustituya el modelo, o lo pueda actualizar remotamente.
The DZS ZNID-GPON-25xx and certain H640-series ONTs, including the software that introduced this vulnerability, were developed by an OEM supplier and resold by DZS. While designed and released more than 9 years ago, most of these products are now well past their sustainable service life. Because software support contracts are no longer offered for most of these products, we do not have direct insight to the total number of units that are still actively used in the field.
https://blog.netlab.360.com/gpon-exploit-in-the-wild-i-muhstik-botnet-among-others-en/
Deja una respuesta