情境示意圖,圖片來源/國際刑警組織Interpol

資安業者Palo Alto Networks上周指出,他們發現Hoaxcalls與Mirai兩個殭屍網路,在最近試圖開採賽門鐵克(Symantec)的安全網頁閘道Symantec Secure Web Gateway 5.0.2.8的安全漏洞,這是安全研究人員在今年3月才揭露的漏洞,其實該產品早就停產,也不再具備技術支援,正因如此,該漏洞也不會有修補程式,而成為駭客的開採途徑之一。

研究人員指出,Hoaxcalls是今年4月才現身的殭屍網路,它開採的都是最近才揭露的安全漏洞,像是Grandstream IP PBX系統的安全漏洞,或是Draytek Vigor路由器漏洞,幾周後還加入了Zyxel Cloud CNM SecuManager未修補的安全漏洞,更在4月24日開始鎖定Symantec Secure Web Gateway漏洞。

Hoaxcalls其實是Bashlite/Gafgyt惡意程式家族的分支,但它支援了更多的命令,像是可透過被感染的裝置代理流量、下載更新、在裝置重新啟動時依然存在,或是避免裝置重新啟動,可用來執行大規模的分散式阻斷服務攻擊。

另一個開採Symantec Secure Web Gateway 5.0.2.8漏洞的,是Mirai的變種,今年5月才出現,可透過暴力破解取得裝置憑證。

Symantec Secure Web Gateway 5.0.2.8,是個年代久遠的網頁閘道產品,它早在2015年就停產,2019年就終止技術支援,但一名安全研究人員在今年的3月26日,公布了該版本的安全漏洞,允許駭客自遠端執行任何程式。目前最新的版本為Symantec Secure Web Gateway 5.2.8,而賽門鐵克則表示,最新版本並未含有該漏洞,而且與該產品有關的ProxySG及Web Security Service等解決方案,也未受到波及。

不過,一來它是個認證後漏洞,只有在認證期間開採才有用,二來它只影響已結束生命周期的韌體版本,使得它的攻擊範圍受限。但Palo Alto Networks指出,Hoaxcalls的作者在該漏洞攻擊程式曝光的幾天後就完成測試,並把它嵌到殭屍程式中,彰顯出這是個非常活躍的殭屍網路。

熱門新聞

Advertisement