黑客利用CVE-2014-9222的漏洞控制了超过1W个路由器。黑客利用CVE-2014-9222的漏洞,也被称为“不幸Cookie”,劫持数千个家庭路由器,并将它们用于WordPress攻击。
安全公司观察到来自阿尔及利亚和目标客户网站攻击次数飙升,在3月 阿尔及利亚就有超过10,000个IP地址攻击了WordPress网站,大多数IP每个月都发动了50到1000次的攻击,其中大部分与阿尔及利亚的国有电信公司有关。
黑客利用阿尔及利亚电信寻找网络上的路由器漏洞,然后利用这些设备来发起暴破攻击和其他WordPress攻击。其中这些ISP路由器都在监听由ISP用于远程管理目的的7547端口,专家注意到所有设备都运行着有漏洞的AllegroSoft RomPager Web服务器。
4.34之前的所有RomPager版本都受到 CVE-2014-9222 (也称为“ 不幸Cookie ”) 的 漏洞影响。
这个漏洞是在2014年12月发现的,当时有超过1200万个家庭路由受到这个漏洞影响,而且到今天还存在着,这足以说明这个漏洞影响之大。攻击者可能利用这个漏洞来对不同制造商的家庭路由器的流量进行了中间人攻击。
一旦攻击者控制了这个路由器后,它就可以瞄准本地网络上的任何其他设备,如智能电视或打印机或手机。
该漏洞可以被利用来劫持华为,Edimax,D-Link,TP-Link,ZTE,ZyXEL等厂商制造的大量设备。28个ISP中的14个提供的路由器存在着漏洞。
据安全专家Wordfence称,在短短三天内,针对WordPress网站的所有攻击中,6.7%来自已启用端口7547的家庭路由器。
上个月,Wordfence观察到来自28个漏洞路由器相关的ISP的超过了90,000个IP地址,其中大多数在长达48小时的过程中产生了不到1,000次的攻击次数后就停止了,但还是有一部分产生的攻击远远超过了1,000次。这表示起码有200多万个网站可能被攻击。
同时WordFence发布了一个免费的在线 工具 ,可用于检查路由器是否已打开端口7547。
