臺(tái)灣LILIN公司生產(chǎn)的用于監(jiān)控系統(tǒng)的數(shù)字錄像機(jī)(DVR)存在多個(gè)零日漏洞，僵尸網(wǎng)絡(luò)黑客則利用這些漏洞，將易受攻擊的設(shè)備感染病毒并進(jìn)行DDoS攻擊。

這些發(fā)現(xiàn)來(lái)自中國(guó)安全公司奇虎360的Netlab團(tuán)隊(duì)，他們表示，至少自2019年8月30日以來(lái)，不同的攻擊組織一直在使用LILIN DVR的零日漏洞來(lái)傳播Chalubo、FBot和Moobot僵尸網(wǎng)絡(luò)。

Netlab的研究人員表示，他們是在2020年1月19日聯(lián)系LILIN的，但直到一個(gè)月后，LILIN才發(fā)布了解決這些漏洞的固件更新(2.0b60_20200207)。

[[319822]]

隨著物聯(lián)網(wǎng)設(shè)備越來(lái)越多地被用作發(fā)起DDoS攻擊的攻擊面，以及參與各種形式的網(wǎng)絡(luò)犯罪的代理，物聯(lián)網(wǎng)的發(fā)展應(yīng)運(yùn)而生。

LILIN被零日攻擊發(fā)生了什么?

該漏洞本身涉及一系列利用硬編碼登錄憑證(root/icatch99和report/8Jg0SR8K50)的漏洞，潛在地授予攻擊者修改DVR配置文件的能力，并在同步FTP或NTP服務(wù)器配置時(shí)注入后門命令。

惡意軟件攻擊

在另一個(gè)場(chǎng)景中，研究人員發(fā)現(xiàn)負(fù)責(zé)NTP時(shí)間同步(NTPUpdate)的進(jìn)程不會(huì)檢查作為輸入傳遞的服務(wù)器中的特殊字符，因此攻擊者可以注入和運(yùn)行系統(tǒng)命令。

新補(bǔ)丁版本通過(guò)驗(yàn)證主機(jī)名來(lái)解決這些缺陷，從而防止命令執(zhí)行。

決定：執(zhí)行強(qiáng)密碼

Netlab表示，去年8月，Chalubo僵尸網(wǎng)絡(luò)背后的運(yùn)營(yíng)商率先利用NTPUpdate漏洞，劫持了LILIN dvr。隨后，F(xiàn)Bot僵尸網(wǎng)絡(luò)在今年1月初被發(fā)現(xiàn)使用FTP / NTP漏洞。兩周后，Moobot開始通過(guò)LILIN 0天FTP漏洞傳播。

研究人員說(shuō)，他們聯(lián)系了莉莉兩次，第一次是在FBot攻擊之后，第二次是在Moobot感染之后。

盡管Netlab沒(méi)有詳細(xì)說(shuō)明這些感染背后的動(dòng)機(jī)，但如果它們被威脅者用來(lái)對(duì)網(wǎng)站和DNS服務(wù)實(shí)施分布式拒絕服務(wù)(DDoS)攻擊，也就不足為奇了。

[[319823]]

Netlab的研究人員說(shuō):“LILIN的用戶應(yīng)該及時(shí)檢查和更新他們的設(shè)備固件，并對(duì)設(shè)備實(shí)施強(qiáng)有力的登錄憑證。”