ในช่วงสิ้นปี 2017 ที่ผ่านมา มีการเปิดเผยถึงช่องโหว่ Remote Code Execution ใน Huawei Router ซึ่งได้รับ CVE เป็น CVE-2017-17215 ซึ่งช่องโหว่ดังกล่าวมีผลกระทบกับ Router ที่แจกในไทยบางรายอีกด้วย

เมื่อช่วงสิ้นปีที่ผ่านมามีการพบว่า IoT Malware ที่ชื่อว่า Satori และ Brickerbot ได้มีการนำช่องโหว่ดังกล่าวไปใช้ในการยึด router ต่างๆทั่วโลกเพื่อที่จะเอา router เหล่านั้นมาใช้เป็น botnet ให้กับเครือข่ายขนาดใหญ่ของ malware นั่นเอง

ช่องโหว่ดังกล่าวกระทบ Huawei Router รุ่น HG532 ซึ่งถูกนำไปแจกให้กับผู้ใช้งานใน ISP ทั่วโลก รวมถึงประเทศไทยด้วย

ตัว Satori นั้นจะคล้ายๆกับ Mirai แต่แตกต่างกันที่ malware ตัวนี้มีการเพิ่ม exploit เข้าไปด้วย ซึ่งตัว Satori จะพยายามโจมตีไปที่ port 37215 ในเครื่อง Huawei HG532 devices ทั้งหลาย ซึ่งพบการโจมตีแล้วทั้งใน USA, Italy, Germany, และ Egypt.

ซึ่งจากการตรวจสอบของเหล่า security researcher พบว่าช่องโหว่นี้ถูกพบโดย Hacker ที่ชื่อว่า “Nexus Zeta” ซึ่งนำมาใช้และแพร่กระจาย Satori อีกทีหนึ่ง ไม่เพียงเท่านี้ยังมี Brickerbot botnet ก็มีการนำ CVE-2017-17215 ไปใช้ด้วยเช่นกัน นั่นหมายความว่า poc code ถูกแพร่หลายไปแล้วนั่นเอง

วิธีการป้องกันง่ายๆคือการปิดการใช้งานขา WAN ผ่าน port 37215 (UPnP – Universal Plug and Play) หรือทำการ upgrade firmware นั่นเอง

Source:: SecurityAffairs, Exploit-db