Satori僵尸网络激增 8000端口被恶意大规模扫描

  • Satori僵尸网络激增 8000端口被恶意大规模扫描已关闭评论
  • A+
所属分类:网络安全新闻

Satori僵尸网络的作者在6月8日发布XionMai网络服务器软件包后, 已经集成了概念证明(PoC)代码。

Satori僵尸网络中最近包含的代码利用XionMai uc-httpd 1.0.0中的缓冲区溢出漏洞,追踪为CVE-2018-10088。远程攻击者可以利用漏洞通过端口80或8000发送格式错误的包来执行任意代码。

“两天前,在2018-06-14,我们注意到一个更新的Satori僵尸网络开始执行网络范围扫描,寻找 uc - httpd 1.0.0设备。” 奇虎360 Netlab发布的报告。

“最有可能的是XiongMai uc - httpd 1.0.0(CVE-2018-10088)的漏洞。扫描活动导致端口80和8000上的流量扫描激增。“

Satori僵尸网络激增 8000端口被恶意大规模扫描

轻量级Web服务器软件包XionMai通常包含在来自中国供应商的许多物联网设备的固件中。

奇虎360 Netlab 和 SANS ISC使用蜜罐收集的数据 证实,Satori的作者还包括第二次漏洞攻击,它允许机器人以D-Link DSL-2750B设备为目标。

专家们在6月15日观察到端口8000扫描下降,攻击者开始利用针对通过端口80和8080利用的D-Link DSL-2750B路由器的PoC代码。

专家们开始看到上述港口的扫描激增,而不是与XionMai相关的港口8000。

安全专家收集的数据显示了Satori僵尸网络的演变,其作者继续包含新的攻击手段,使僵尸网络能够抵御执法和安全公司的破坏。

CE安全网