德国电信遭黑客攻击：90万路由器下线 大量用户无法访问互联网

德国电信近日遭遇网络攻击，超90万路由器无法联网，德国电信方面已经确认了此事。断网事故始于当地时间11月27日（周日）17：00左右，持续数个小时。周一上午08：00，再次出现断网问题。除了联网服务外，德国电信用户还用这些路由器来连接电话和电视服务。

事件影响全国范围内的众多用户，具体影响范围如下图所示：

图片来自：Allestoerungen.de

当地时间周一12：00，德国电信在Facebook上放出通告称问题已经解决，但其用户反映无法联网的问题依旧存在。

到底发生了什么？

根据德国媒体abendblatt.de报道：

“德国联邦信息技术安全局（BSI）发现，在某个全球范围内的攻击发生之后，德国电信路由器出现了无法联网的问题。”

“根据BSI的说法，在受保护的政府网络中也发生了上述攻击，但得益于有效的保护措施，政府网络受到的攻击被击退。”

目前德国电信并未提供攻击的技术细节，也没有透露受影响的路由器型号。目前尚不清楚，哪种威胁攻击了德国电信的路由器，专家推测可能有恶意软件劫持了路由器，阻止路由器联网——推测此恶意软件为Mirai的变种，甚至还将这些路由器都变身为僵尸网络的一员。

来自SANS Institute的报道，目前德国电信和路由器供应商已联合开发并发布固件补丁。

德国电信客服部门建议用户断开设备，等待30秒，重启路由器。在启动过程中，路由器将从德国电信服务器上下载最新固件。如果这个方法无法让路由器恢复连接，那么建议将路由器从德国电信网络彻底断开。

除此之外，德国电信还提供免费移动网络，直至技术问题解决为止。

相关分析

实际上德国电信并没有公布这次网络攻击的技术细节，甚至连究竟有哪些路由器受到影响都没提。有专家推测这次的攻击应该是恶意软件阻止了哪些路由器连接到德国电信的网络。

不过SANS ISC的安全专家周一早晨发布了一篇报告，其中提到针对Speedport路由器的7547端口进行SOAP远程代码执行漏洞的扫描和利用，近期发生了急剧增长。而Speedport路由器正是德国电信用户广泛使用的型号。

报告中还说，德国电信与Eircom（爱尔兰运营商）为用户提供的路由器都存在漏洞——这些路由器是由Zyxel和Speedport制造的，另外可能还有其他制造商。

这些设备将互联网端口7547暴露给外部网络，漏洞利用过程基于TR-069和相关的TR-064协议来发出命令，原本ISP运营商是用这些协议来远程管理大量硬件设备的。

“过去几天中，对7647端口的攻击大大增多。这些扫描似乎利用了流行的DSL路由器中的漏洞。这个问题可能已经导致德国ISP运营商德国电信出现严重问题，并可能影响其他人（考虑到美国那边还是周末）。对于德国电信，Speedport路由器似乎是这次事件的主要问题。

“通过Shodan搜索，可以发现目前约4100万个设备开放7547端口。代码似乎是来自Mirai僵尸网络。目前，从蜜罐服务器的数据来看，针对每个目标IP，每5-10分钟就会收到一个请求。”

以下是安全专家捕获的请求：

根据SANS ISC发布的报告，攻击者试图利用TR-069配置协议中的一个漏洞。专家表示可利用一个Metasploit模块，实现该漏洞的利用。POC如下所示：

https://www.exploit-db.com/exploits/40740/

其实在本月月初的时候，就有研究人员公布了利用TR-064服务的攻击代码。作为Metasploit开发框架的模块，攻击代码会开启远程管理web界面的80端口。那些用了默认或者弱密码的设备，就会被远程利用，加入到僵尸网络中，发起DoS攻击了。

又和Mirai僵尸网络有关

来自BadCyber的研究人员分析了攻击中的恶意payload，发现就是源自于一台已知的Mirai C&C服务器。

“利用TR-064命令在路由器上执行代码，是直到本月11月初的研究报告才第一次提到的，几天之后就有相关的Metasploit模块出现了。似乎就是有人要将它打造成武器，基于Mirai代码构建互联网蠕虫。”

为了感染尽可能多的路由器，恶意程序包含了3个独立的利用文件，其中两个为那些采用MIPS芯片的设备准备，另外一个则是针对采用ARM芯片的路由器。恶意payload利用漏洞来开启远程管理界面，然后使用3个不同的默认密码来尝试登录。

攻击过程随后会关闭7547端口，以阻止其他恶意程序控制设备。

1
<p style="margin-top: 0px; margin-bottom: 15px; word-wrap: break-word;">busybox iptables -A INPUT -p tcp –destination-port 7547 -j DROP</p><p style="margin-top: 0px; margin-bottom: 15px; word-wrap: break-word;">busybox killall -9 telnetd</p>

其上第一条命令关闭了7547端口，而第二条命令则是禁用了telnet服务——这样一来ISP运营商要进行设备远程升级也就有难度了。

代码中的登录用户名和密码经过了混淆，和Mirai所用的算法一致。C&C服务器也在timeserver.host域名下——这也是台Mirai服务器。而且连扫描IP的伪随机算法，看起来都直接复制了Mirai的源码。

“看起来这款恶意程序的作者照搬了Mirai代码，将之与其Metasploit模块进行了融合，最终产出了这款蠕虫。”

*参考来源：securityaffairs，FB小编kuma、bimeover编译，转载请注明来自FreeBuf.COM。