殭屍網路開採已停產的Symantec安全網頁閘道漏洞

資安業者Palo Alto Networks上周指出，他們發現Hoaxcalls與Mirai兩個殭屍網路，在最近試圖開採賽門鐵克（Symantec）的安全網頁閘道Symantec Secure Web Gateway 5.0.2.8的安全漏洞，這是安全研究人員在今年3月才揭露的漏洞，其實該產品早就停產，也不再具備技術支援，正因如此，該漏洞也不會有修補程式，而成為駭客的開採途徑之一。

研究人員指出，Hoaxcalls是今年4月才現身的殭屍網路，它開採的都是最近才揭露的安全漏洞，像是Grandstream IP PBX系統的安全漏洞，或是Draytek Vigor路由器漏洞，幾周後還加入了Zyxel Cloud CNM SecuManager未修補的安全漏洞，更在4月24日開始鎖定Symantec Secure Web Gateway漏洞。

Hoaxcalls其實是Bashlite/Gafgyt惡意程式家族的分支，但它支援了更多的命令，像是可透過被感染的裝置代理流量、下載更新、在裝置重新啟動時依然存在，或是避免裝置重新啟動，可用來執行大規模的分散式阻斷服務攻擊。

另一個開採Symantec Secure Web Gateway 5.0.2.8漏洞的，是Mirai的變種，今年5月才出現，可透過暴力破解取得裝置憑證。

Symantec Secure Web Gateway 5.0.2.8，是個年代久遠的網頁閘道產品，它早在2015年就停產，2019年就終止技術支援，但一名安全研究人員在今年的3月26日，公布了該版本的安全漏洞，允許駭客自遠端執行任何程式。目前最新的版本為Symantec Secure Web Gateway 5.2.8，而賽門鐵克則表示，最新版本並未含有該漏洞，而且與該產品有關的ProxySG及Web Security Service等解決方案，也未受到波及。

不過，一來它是個認證後漏洞，只有在認證期間開採才有用，二來它只影響已結束生命周期的韌體版本，使得它的攻擊範圍受限。但Palo Alto Networks指出，Hoaxcalls的作者在該漏洞攻擊程式曝光的幾天後就完成測試，並把它嵌到殭屍程式中，彰顯出這是個非常活躍的殭屍網路。