Mirai DDoS殭屍網發動攻擊，數千Sierra Wireless網關遭殃

01-31

Sierra WirelessAirLink網關受到殭屍網路攻擊，其源代碼已被公開。

Sierra Wireless在發現其無線產品被Mirai惡意軟體攻擊後，警示客戶儘快更改他們AirLink網關產品的默認密碼。

Mirai是一個惡意軟體和殭屍網路的結合品，在安全博客Krebs on Security遭到620Gbps分散式拒絕服務(DDoS)攻擊後被公之於眾，奴役數以千計(如果不是數百萬)的脆弱的物聯網(IoT)設備，包括硬碟錄像機(DVR)，閉路電視監控攝像機(CCTV)，路由器等。

目前，這款惡意軟體的操控者正在網路上搜尋能被利用的Sierra Wireless網關設備。

本周五，工業控制系統網路應急響應小組(ICS-CERT)發布了一個安全報告，警告說，這些產品因為很容易受基於Linux的惡意軟體攻擊，並且由於使用了默認的出廠商密碼(這些密碼很容易從網上獲得)，最終可能成為惡意代碼的攻擊對象。

Sierra Wireless的LS300GX400、GX / ES440 GX / ES450，RV50等型號的網關，都特別容易受到惡意軟體攻擊。據Sierra Wireless所說，已有報道稱設備受到感染，是由於在ACEmanager網關的密碼內使用了默認密碼所致。

報告上說，「ICS-CERT想強調，Mirai惡意軟體不是通過Sierra Wireless設備的軟體或硬體漏洞進行利用，問題出在這些設備的配置管理上。」n

通信設備製造商說，一旦惡意軟體黑了網關產品，它就會自我刪除，只存留在內存里。然後再掃描其他易受攻擊的設備，並且將報告送回Mirai指揮控制(C&C)伺服器(該伺服器可能在將來的DDoS攻擊時，用來控制那些設備)。

隨著Mirai惡意軟體源代碼在最近已被公之於眾，我們可能會看到更多易受攻擊的物聯網和網路設備遭受這些類型的攻擊情況，它能夠破壞掉在線伺服器，並且使企業花費掉一筆錢。

Sierra Wireless表示，「目前，該惡意軟體最出名的特徵是，當它掃描易受攻擊的設備時，在TCP 23埠顯現為不規則的通訊流。用戶也可以觀察在TCP 48101埠上的與c&c伺服器進行通訊的數據流，以及大量對外發出DDoS攻擊的出站流量。」n

改變默認設置並重新啟動網關時，應該消除所有被感染的數據。然而，如果產品繼續使用出廠商默認密碼，該設備可能會再次被感染。

雖然不是每一個供應商都會允許您在硬體上更改默認設置，隨著利用脆弱的家庭設備的形成的新型攻擊的崛起，在任何情況下，你在提高自己的安全性同時也要盡己所能減少一部分的潛在規模DDoS攻擊。

註：本文參考來源於zdnet