Взлом сайтов WordPress хакеры проводят с маршрутизаторов

По сообщению сотрудников компании WordFence хакеры обратили свое внимание на обычные домашние маршрутизаторы, которые стоят практически у каждого в квартире. Их защитой никто не занимается и они стают легкой добычей хакеров, тем более что рядовой пользователь этого и не замечает. Взломав тысячи маршрутизаторов, злоумышленники проводят брутфорс-атаки на сайты с CMS WordPress. Основная задача злоумышленников – подобрать пароль администратора и захватить управление.

Роль машрутизаторов в этом процессе проста – они имеют различные IP-адреса, расположены вне брандмауэров и сетевых экранов, пользователь зачастую не обращает внимание на некоторое замедление скорости доступа в интернет. В большинстве устройств существует «дыры» в безопасности протокола TR-069, которые и используют злоумышленники. Они посылают специальный запрос к устройству на порт 7547 и получают административный доступ. Для уменьшения внимания к вредоносным атакам с каждого устройства проводится незначительное число запросов на подбор пароля. 

Число взломанных маршрутизаторов пока не определено, так же, как входят они в одну ботсеть или несколько. Однако известно, что 6,7% атак на сайты с CMS WordPress в марте 2017 года проводились именно с устройств, у которых оставался незакрытым порт 7547.

Нападению и взлому маршрутизоторов подверглись порядка 30 сетей крупных провайдеров. В половине из них клиентам устанавливались устройства ZyXEL ZyWALL 2 с незакрытым портом 7547.

В 2016 году проводились аналогичные атаки на сети английских и германских провайдеров. Хакер атаковал порядка миллиона маршрутизаторов, причем большинство из них были марки ZyXEL. Тогда целью злоумышленников было расширение ботнет-сети Mirai, с помощью которой проводились масштабные DDoS-атаки.

 

Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.