据安全公司Wordfence的专家称数以万计家用路由器已被黑客入侵并用于对WordPress网站的攻击。沦陷的路由器来自全球27个ISP,包括巴基斯坦、印度、俄罗斯、埃及等地。

WordPress 4月11日发表的报告称,数万台存在漏洞的家庭路由器遭到黑客入侵和滥用,并对WordPress网站发起攻击。该公司注意到,从上月开始,来自于阿尔及利亚网站的攻击次数大幅增加。通过对10,000多个攻击IP地址的分析显示,大多数与国有电信公司阿尔及利亚电信有关。Wordfence认为黑客利用阿尔及利亚电信公司为客户提供的路由器的漏洞,然后滥用被劫持的设备在WordPress站点上发起暴力和其他类型的攻击。

另外,研究人员从全球众多互联网服务供应商中识别到沦陷的路由器,有包括巴基斯坦,印度,菲律宾,土耳其,埃及,摩洛哥,马来西亚,巴西,印度尼西亚,塞尔维亚,沙特阿拉伯,俄罗斯,斯里兰卡,克罗地亚和意大利等27个ISP。

这些ISP中的十几个路由器正在监听端口7547,存在Misfortune Cookie攻击漏洞。总共28家ISP超过90000个IP地址与这些被黑路由器相关。这些公司用于管理客户的设备,并运行易受攻击的是AllegroSoft RomPager Web服务器。

rompager 4.34版本之前的一个关键漏洞和跟踪cve-2014-9222被称为“不幸Cookie”,可以用来劫持的华为,爱迪麦斯,友讯,TP-LINK,中兴和其他厂商的设备。研究人员在2014年12月首次披露这一缺陷时就警告说,世界上大多数国家至少有1200万个脆弱的路由器。

根据Wordfence推断,28个ISP中的14个为路由器提供了容易受到不幸的cookie的攻击。研究人员还指出,去年披露的另一个漏洞可能被利用来劫持使用端口7547的家庭路由器。在三天的时间里,针对受保护的WordPress网站的所有攻击中,6.7%来自拥有7547端口的家庭路由器。

在过去一个月中,Wordfence已经看到来自28个ISP的超过90,000个唯一IP地址,这些IP地址似乎与受损的路由器相关联。专家表示,大多数IP地址在长达48小时的过程中产生少于1000次的攻击,之后它们就停止了。

WordFence发布了一个免费的在线工具,可用于检查路由器是否已打开端口7547。