安全企业Palo Alto Networks上周指出,他们发现Hoaxcalls与Mirai两个僵尸网络,在最近试图开采赛门铁克(Symantec)的安全网页网关Symantec Secure Web Gateway 5.0.2.8的安全漏洞,这是安全研究人员在今年3月才披露的漏洞,其实该产品早就停产,也不再具备技术支持,正因如此,该漏洞也不会有修补程序,而成为黑客的开采途径之一。
研究人员指出,Hoaxcalls是今年4月才现身的僵尸网络,它开采的都是最近才披露的安全漏洞,像是Grandstream IP PBX系统的安全漏洞,或是Draytek Vigor路由器漏洞,几周后还加入了Zyxel Cloud CNM SecuManager未修补的安全漏洞,更在4月24日开始锁定Symantec Secure Web Gateway漏洞。
Hoaxcalls其实是Bashlite/Gafgyt恶意程序家族的分支,但它支持了更多的命令,像是可通过被感染的设备代理流量、下载更新、在设备重新启动时依然存在,或是避免设备重新启动,可用来执行大规模的分布式拒绝服务攻击。
另一个开采Symantec Secure Web Gateway 5.0.2.8漏洞的,是Mirai的变种,今年5月才出现,可通过暴力破解取得设备凭证。
Symantec Secure Web Gateway 5.0.2.8,是个年代久远的网页网关产品,它早在2015年就停产,2019年就终止技术支持,但一名安全研究人员在今年的3月26日,公布了该版本的安全漏洞,允许黑客自远程执行任何程序。目前最新的版本为Symantec Secure Web Gateway 5.2.8,而赛门铁克则表示,最新版本并未含有该漏洞,而且与该产品有关的ProxySG及Web Security Service等解决方案,也未受到波及。
不过,一来它是个认证后漏洞,只有在认证期间开采才有用,二来它只影响已结束生命周期的固件版本,使得它的攻击范围受限。但Palo Alto Networks指出,Hoaxcalls的作者在该漏洞攻击程序曝光的几天后就完成测试,并把它嵌到僵尸程序中,彰显出这是个非常活跃的僵尸网络。