Hackers están explotando nueva vulnerabilidad de Día-Cero en Routers GPON


Investigadores de Seguridad de la firma Qihoo360 han anunciado la operación de una botnet, que está explotando una nueva vulnerabilidad de día-cero en equipos Gpon(Gigabit-Capable Passive Optical Network), manufacturados por la empresa sur coreana DASAN Zhone Solutions-

La botnet apodada TheMoon la cual había sido detectada por primera vez el año 2014, a añadido cerca de 6 exploit para equipos IoT, y el último exploit que le fue añadido, fue para los equipos Dasan.

Las características de esta versión son

  • Scanner IP: 177.141.64.108 Brazil/BR São Paulo "AS28573 CLARO S.A."
  • Scanning Port:80 ,8080,81,82,8888, with the GPON scan only on port 80
  • Download Server: domstates.su
  • C2 Server:
    • 91.215.158.118 Netherlands/NL Amsterdam "AS60144 3W Infra B.V."
    • 149.202.211.227 France/FR Fontenay-sous-Bois "AS16276 OVH SAS"
    • 208.110.66.34 United States/US Kansas City "AS32097 WholeSale Internet, Inc."
    • 173.208.219.42 United States/US Kansas City "AS32097 WholeSale Internet, Inc."

Siendo que la firma detectó esta nueva versión de payload dentro del botnet, a modo de precaución, no han divulgado ninguna información sobre este payload.

TheMoon botnet ganó titulares en el año 2015-16 después de que se descubrió la propagación de malware a una gran cantidad de modelos de Routers ASUS y Linksys que utilizan vulnerabilidades de ejecución remota de código (RCE).

Particularmente para estos routers (DASAN), aun no se liberan parches para poder solucionar este problema, así que por mientras se recomienda des habilitar las funciones de administración remota para que los equipos así no sean victimas de un ataque.

IoC


md5=17fb1bfae44a9008a4c9b4bdc6b327bd    url=hxxp://domstates.su/.nttpd,1-mips-be-t3-z
md5=299919e8a5b4c8592db0c47207935b69    url=hxxp://domstates.su/gpon.sh