一,、 概述
CNCERT物聯(lián)網(wǎng)威脅數(shù)據(jù)平臺近期捕獲到一種新的在野漏洞利用,,開源情報顯示該漏洞屬于路由器設備漏洞,,于2021年8月3號由Tenable 公司的安全研究員首次披露【1】,。該漏洞已存在12年之久,,Tenable 公司警告稱可能影響全球數(shù)百萬臺的路由器設備,。我們的物聯(lián)網(wǎng)威脅數(shù)據(jù)平臺于2021年8月3日第一時間捕獲到該漏洞攻擊行為,到目前為止已監(jiān)測發(fā)現(xiàn)了20余萬次該攻擊行為,。
二,、漏洞信息
1、在野PoC
該漏洞是路徑繞過漏洞CVE-2021-20090和配置文件注入漏洞CVE-2021-20091,,其聯(lián)合起來使用,,攻擊者可獲得telnet shell并執(zhí)行任意系統(tǒng)命令。在野PoC如下圖所示,。
同時我們也在利用該漏洞傳播的Mirai變種Darknet中發(fā)現(xiàn)了同樣的攻擊手法,,對Darknet樣本進行逆向分析發(fā)現(xiàn)的攻擊payload如下圖所示,黑客組織們更新漏洞工具的速度可見一斑,。
2,、受影響設備
最初,安全研究員Evan Grant在研究Buffalo公司的路由器時發(fā)現(xiàn)此漏洞,,但很快,,他發(fā)現(xiàn)其實根源在中國臺灣Arcadyan公司生產的固件里。幾乎每臺 Arcadyan路由器/調制解調器,,包括最早在2008年出售的設備,,都存在此漏洞。因為軟件供應鏈的關系,,源于Arcadyan固件的這一漏洞,,至少進入17家不同廠商的至少20個機型中。估計數(shù)百萬臺設備受影響,,它們分布在11個國家,,包括澳大利亞、德國,、日本,、墨西哥、新西蘭,、美國等。影響范圍如下表所示:
表1:受影響設備(來自于參考文獻)
三,、IoC信息
212.192.241.72
212.192.245.72
212.192.245.72
ccfefe9b5886875557f9695b996f5483
9344542748024ed06d98116e3b5f86d6
f0b0acf4f9bb09f22c2f54ca3c214bef
fb753a2ab5e2ca61424b28f7ff3d1344
5e450f4f32d5054a784079da0e91aed3
ee7249ee77e59cad5ec52cfb8c2e27f1
df4955166992ec18c270c79ffe1471e2
55f6eb2e1d81837383255f6ffa3d20b5
ee40c8405d4247897e0ae9631fbf1829
b1fefac85d00fa80a402d7fe8166dade
d82231d83d10fa7d213d727739ad75bc