上个月，未来僵尸网络在整个互联网上离线了几个小时，摧毁了一些世界上最大和最受欢迎的网站。

现在，属于德国Deutsche Telekom用户的90多个宽带路由器在周末发生了假定的网络攻击，影响了该国的电话，电视和互联网服务。

德国互联网服务供应商，德国电信，其中约20万客户提供各种服务，证实在Facebook上有多达900,000的客户遭遇网络中断周日和周一。

据说百万路由器容易受到由Zyxel和Speedport制造的路由器中的关键远程代码执行缺陷的攻击，其中因特网端口7547打开以接收基于TR-069和相关TR-064协议的命令，这意味着使用ISP以远程管理您的设备。

同样的漏洞影响爱尔兰互联网服务提供商Eircom部署的Eir D1000无线路由器（更名为Zyxel Modem），但没有迹象表明这些路由器被积极利用。

根据Shodan的搜索，大约4100万个设备离开端口7547开放，而大约500万个设备暴露TR-064服务到外部世界。

据咨询公布的SANS互联网风暴中心，蜜罐服务器冒充弱势路由器收到的攻击代码每5-10分钟对每个目标IP。

拦截的数据包显示了如何使用SOAP请求的部分中的远程代码执行缺陷来下载和执行文件，以感染易受攻击的设备。

BadCyber??的安全研究人员还分析了在攻击期间发送的恶意有效载荷之一，并发现攻击源于已知的Mirai的命令和控制服务器。

“在路由器上执行代码的TR-064命令的不寻常的应用已经在11月初第一次被描述，几天后，一个相关的Metasploit模块出现了，”BadCyber??在一篇博客中写道。“它看起来像一个人决定武器化它，并创建一个基于未来代码的网络蠕虫。
这一切都从十月初开始，一个网络犯罪分子公开发布了Mirai的源代码，一个令人讨厌的IoT恶意软件，旨在扫描不安全的IoT设备 - 大多数路由器，摄像机和DVR，并将它们奴役到僵尸网络，然后用于发起DDoS攻击。

黑客创建了三个独立的利用文件，以感染三种不同的架构：两个运行不同类型的MIPS芯片和一个与ARM硅。

恶意负载打开远程管理界面，然后尝试使用三个不同的默认密码登录。完成此操作后，该漏洞会关闭端口7547，以防止其他攻击者控制受感染的设备。

“研究人员说，”在蠕虫代码中使用与Mirai相同的算法对登录和密码进行模糊处理（或“加密”）。“C＆C服务器驻留在timeserver.host域名下，可以在Mirai跟踪列表中找到。

关于漏洞的更深入的技术细节可以在ISC Sans，卡巴斯基实验室和逆向工程博客中找到。

1.png

德国电信为Speedport宽带路由器Speedport W 921V，Speedport W 723V Type B的两种型号发布了紧急补丁，目前正在推出固件更新。

该公司建议客户关闭其路由器，等待30秒，然后重新启动其路由器，以尝试在启动过程中获取新的固件。

如果路由器无法连接到公司的网络，建议用户永久断开其设备与网络的连接。

为了补偿停机时间，ISP还通过移动设备向受影响的客户提供免费上网，直到技术问题解决。