《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 針對路由器的最新在野漏洞利用,,或影響數(shù)百萬設備

針對路由器的最新在野漏洞利用,,或影響數(shù)百萬設備

2021-08-21
來源:網(wǎng)絡安全應急技術國家工程實驗室
關鍵詞: 路由器 在野漏洞

  一,、 概述

  CNCERT物聯(lián)網(wǎng)威脅數(shù)據(jù)平臺近期捕獲到一種新的在野漏洞利用,,開源情報顯示該漏洞屬于路由器設備漏洞,,于2021年8月3號由Tenable 公司的安全研究員首次披露【1】,。該漏洞已存在12年之久,,Tenable 公司警告稱可能影響全球數(shù)百萬臺的路由器設備,。我們的物聯(lián)網(wǎng)威脅數(shù)據(jù)平臺于2021年8月3日第一時間捕獲到該漏洞攻擊行為,到目前為止已監(jiān)測發(fā)現(xiàn)了20余萬次該攻擊行為,。

  二,、漏洞信息

  1、在野PoC

  該漏洞是路徑繞過漏洞CVE-2021-20090和配置文件注入漏洞CVE-2021-20091,,其聯(lián)合起來使用,,攻擊者可獲得telnet shell并執(zhí)行任意系統(tǒng)命令。在野PoC如下圖所示,。

  同時我們也在利用該漏洞傳播的Mirai變種Darknet中發(fā)現(xiàn)了同樣的攻擊手法,,對Darknet樣本進行逆向分析發(fā)現(xiàn)的攻擊payload如下圖所示,黑客組織們更新漏洞工具的速度可見一斑,。

  2,、受影響設備

  最初,安全研究員Evan Grant在研究Buffalo公司的路由器時發(fā)現(xiàn)此漏洞,,但很快,,他發(fā)現(xiàn)其實根源在中國臺灣Arcadyan公司生產的固件里。幾乎每臺 Arcadyan路由器/調制解調器,,包括最早在2008年出售的設備,,都存在此漏洞。因為軟件供應鏈的關系,,源于Arcadyan固件的這一漏洞,,至少進入17家不同廠商的至少20個機型中。估計數(shù)百萬臺設備受影響,,它們分布在11個國家,,包括澳大利亞、德國,、日本,、墨西哥、新西蘭,、美國等。影響范圍如下表所示:

  表1:受影響設備(來自于參考文獻)

  三,、IoC信息

  212.192.241.72

  212.192.245.72

  212.192.245.72

  ccfefe9b5886875557f9695b996f5483

  9344542748024ed06d98116e3b5f86d6

  f0b0acf4f9bb09f22c2f54ca3c214bef

  fb753a2ab5e2ca61424b28f7ff3d1344

  5e450f4f32d5054a784079da0e91aed3

  ee7249ee77e59cad5ec52cfb8c2e27f1

  df4955166992ec18c270c79ffe1471e2

  55f6eb2e1d81837383255f6ffa3d20b5

  ee40c8405d4247897e0ae9631fbf1829

  b1fefac85d00fa80a402d7fe8166dade

  d82231d83d10fa7d213d727739ad75bc




電子技術圖片.png

本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。