攻防最前线：神秘伊朗IP利用nday漏洞入侵DNA测序设备

一个神秘的黑客组织正在使用一个未修复 0day 攻击基于 Web 的 DNA 测序应用，控制目标设备。

NewSky 安全公司的研究员 Ankit Anubhav 表示，攻击始于6月12日，目前仍在持续。

在 DNA 测序 web 应用上植入 shell

Anubhav 表示，该黑客组织运营自基于伊朗的 IP 地址，它正在扫描互联网上的 dnaLIMS web 应用，它是由处理 DNA 测序操作系统的企业和研究机构安装的。

研究人员表示，黑客利用的是 CVE-2017-6526。该漏洞存在于dnaLIMS 中，厂商早在2017年就收到漏洞通知，但至今认为修复。Anubhav 表示，攻击者正在利用该漏洞植入 shell，从而从远程位置控制底层 web 服务器。

攻击动机不明

目前尚不清楚该黑客组织是如何使用这些后门入侵被黑系统和执行感染后操作的，可能存在两种攻击场景。第一种，攻击者可能正在从该应用的数据库中提取 DNA 序列哈希。Anubhav 表示，“在某些案例中窃取 DNA 可能收获颇丰。可以将窃取的信息在暗网出售，或者更高段位的攻击者能够找到具体某个人的数据。”

第二种，也是非常具有说服力的场景是，攻击者可能会将受感染服务器作为僵尸网络的一部分或者使用该 shell 在遭劫持系统上植入密币挖矿机。

媒体ZDNet 此前曾报道称，当前最常见的物联网僵尸网络都是由寻求关注的菜鸟从 ExploitDB 利用数据库中提取的随机利用代码并随机组建成僵尸网络的。

本次攻击活动可能也是这种情况，僵尸网络作者随机使用某利用代码而并不知道自己实际上的攻击目标是什么。

Anubhav 表示，“这种特定攻击可能对于脚本小子或僵尸网络运营人员而言可能并没有用”，他指出互联网上只有35到50个如此复杂的 DNA 测序 app，这对于构建一个僵尸网络而言规模太小。

攻击路由器和 Struts 服务器

另外，理论上认为，这可能是脚本小子利用随机利用代码而造成的，而不是受国家支持的黑客组织所为，而从攻击者 IP 地址之前所进行的历史活动就可看出。

从 NewSky 发布的记录来看，攻击者在使用 nmap 工具扫描互联网并试图使用两个其它的利用代码控制系统，一个是 Zyxel 路由器一个是 Apache Struts 安装程序。

Anubhav 表示，“我们尚无法判断这些攻击的动机。不管怎样，包含这种机密信息的DNA 测序系统能被攻陷。”

由于早在2017年，厂商就拒绝修复这个安全缺陷，因此这些系统仍然易受攻击。如果 DNA 测序数据已被匿名化，那么被盗的任意数据很可能是没有作用的。否则，如果黑客从这些系统中窃取了任何信息都可能造成严重后果。

确实如此，DNA 数据目前来看似乎并没有什么用，但随着生物识别解决方案的逐年升温，非匿名化数据在未来几年可能会具有其价值。

原文链接

https://www.zdnet.com/article/mysterious-iranian-group-is-hacking-into-dna-sequencers/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。