一、 概述

　　CNCERT物聯(lián)網(wǎng)威脅數(shù)據(jù)平臺(tái)近期捕獲到一種新的在野漏洞利用，開(kāi)源情報(bào)顯示該漏洞屬于路由器設(shè)備漏洞，于2021年8月3號(hào)由Tenable 公司的安全研究員首次披露【1】。該漏洞已存在12年之久，Tenable 公司警告稱(chēng)可能影響全球數(shù)百萬(wàn)臺(tái)的路由器設(shè)備。我們的物聯(lián)網(wǎng)威脅數(shù)據(jù)平臺(tái)于2021年8月3日第一時(shí)間捕獲到該漏洞攻擊行為，到目前為止已監(jiān)測(cè)發(fā)現(xiàn)了20余萬(wàn)次該攻擊行為。

　　二、漏洞信息

　　1、在野PoC

　　該漏洞是路徑繞過(guò)漏洞CVE-2021-20090和配置文件注入漏洞CVE-2021-20091，其聯(lián)合起來(lái)使用，攻擊者可獲得telnet shell并執(zhí)行任意系統(tǒng)命令。在野PoC如下圖所示。

　　同時(shí)我們也在利用該漏洞傳播的Mirai變種Darknet中發(fā)現(xiàn)了同樣的攻擊手法，對(duì)Darknet樣本進(jìn)行逆向分析發(fā)現(xiàn)的攻擊payload如下圖所示，黑客組織們更新漏洞工具的速度可見(jiàn)一斑。

　　2、受影響設(shè)備

　　最初，安全研究員Evan Grant在研究Buffalo公司的路由器時(shí)發(fā)現(xiàn)此漏洞，但很快，他發(fā)現(xiàn)其實(shí)根源在中國(guó)臺(tái)灣Arcadyan公司生產(chǎn)的固件里。幾乎每臺(tái) Arcadyan路由器/調(diào)制解調(diào)器，包括最早在2008年出售的設(shè)備，都存在此漏洞。因?yàn)檐浖?yīng)鏈的關(guān)系，源于Arcadyan固件的這一漏洞，至少進(jìn)入17家不同廠商的至少20個(gè)機(jī)型中。估計(jì)數(shù)百萬(wàn)臺(tái)設(shè)備受影響，它們分布在11個(gè)國(guó)家，包括澳大利亞、德國(guó)、日本、墨西哥、新西蘭、美國(guó)等。影響范圍如下表所示：

　　表1：受影響設(shè)備（來(lái)自于參考文獻(xiàn)）

　　三、IoC信息

　　212.192.241.72

　　212.192.245.72

　　212.192.245.72

　　ccfefe9b5886875557f9695b996f5483

　　9344542748024ed06d98116e3b5f86d6

　　f0b0acf4f9bb09f22c2f54ca3c214bef

　　fb753a2ab5e2ca61424b28f7ff3d1344

　　5e450f4f32d5054a784079da0e91aed3

　　ee7249ee77e59cad5ec52cfb8c2e27f1

　　df4955166992ec18c270c79ffe1471e2

　　55f6eb2e1d81837383255f6ffa3d20b5

　　ee40c8405d4247897e0ae9631fbf1829

　　b1fefac85d00fa80a402d7fe8166dade

　　d82231d83d10fa7d213d727739ad75bc