去年3月電信業者Lumen揭露路由器惡意軟體HiatusRAT,攻擊者利用邊緣裝置收集流量、並將它們轉為C2基礎架構,去年6月傳出駭客針對臺灣與美國而來,如今出現範圍更為廣泛的新一波的攻擊行動。
12月16日美國聯邦調查局(FBI)發布警報,指出木馬程式HiatusRAT自今年3月,鎖定 D-Link及中國廠牌的視訊鏡頭及DVR設備弱點,在美國、澳洲、加拿大、紐西蘭、英國發動攻擊。
針對攻擊者利用的弱點,FBI提及了5個已知漏洞,包含:CVE-2017-7921、CVE-2018-9995、CVE-2020-25078、CVE-2021-33044、CVE-2021-36260,這些弱點存在於海康威視(Hikvision)、TBK Vision、D-Link、大華(Dahua)的連網設備,除CVE-2020-25078為高風險層級,其餘漏洞皆為重大層級,其中的CVE-2018-9995、CVE-2021-33044、CVE-2021-36260的CVSS風險評分為9.8(滿分10分),CVE-2017-7921更達到10分的程度。
值得留意的是,部分裝置無法取得廠商提供的新版韌體來緩解漏洞。其中,TBK Vision迄今並未修補CVE-2018-9995,而海康威視沒有對所有受影響的型號修補CVE-2017-7921,再者,D-Link修補CVE-2020-25078的時候,有部分型號的裝置生命週期已經結束(EOL),該公司並未提供對應的新版韌體。
附帶一提的是,FBI也提及廠商設置的弱密碼可能遭到駭客利用的現象。
針對這波攻擊行動的流程,駭客首先會藉由Telnet連線試圖存取海康威視及雄邁(Xiongmai)的裝置,並使用名為Ingram的視訊鏡頭掃描工具來進行掃描,監控這類裝置的活動。
接著,攻擊者會利用暴力破解工具Medusa,透過Telnet連線鎖定海康威視的視訊鏡頭,過程裡會透過Telnet連線進行,並使用8種TCP連接埠。
熱門新聞
2024-12-16
2024-12-16
2024-12-17
2024-11-29
