首发—攻击者开始攻击Edimax WiFi桥接器

执行摘要

2020年4月14日，Exploit DB公布了一个针对Edimax WiFi桥接器的远程执行漏洞的利用(EDB-ID：48318[1])，该利用从Shodan搜索条件到下发样本非常详细，我们结合绿盟威胁情报中心对相应设备的暴露情况进行了验证，发现2020年至今，其暴露数量总计在6000台以上。因此近日，紧急在绿盟威胁捕获系统中增加了针对该漏洞的交互，随即捕获到针对该漏洞的探测和利用行为，本文将通过脆弱性、暴露情况以及威胁分析三个方面，叙述本次发现的相关活动。

通过分析脆弱性，我们发现除了本文提到2020年4月14日由Exploit DB公布的RCE之外，Exploit DB中还存在8个Edimax的漏洞利用。

通过分析互联网暴露情况，我们发现2020年至今，互联网中暴露的无需认证的Edimax WiFi桥接器共665个，暴露但需要认证的Edimax WiFi桥接器共5580个。

通过威胁分析，我们发现，在对漏洞利用增加交互的当天（2020年4月18日），便捕获到了利用匿名DNS Log平台对该漏洞的探测行为。次日（2020年4月19日）便捕获到利用该漏洞投递样本的行为。整个事件的流程为：

4月14日

漏洞利用公布。

4月18日

我们紧急在绿盟科技威胁捕获系统中增加了针对该漏洞的交互。

4月18日

我们捕获到针对该漏洞的探测行为，值得注意的是，此次捕获到的探测行为不同于往常，其尝试请求dnslog.cn，通过查询dns记录的方式确认设备是否具备脆弱性。

4月19日

我们捕获到利用该漏洞投递样本的行为。

4月21日

利用该漏洞投递样本的行为出现了爆发的现象。

截至成稿，我们发现针对该漏洞的利用行为仍呈现急剧上升的趋势，应引起安全团队的重视。本次捕获的攻击，最早出现在针对该漏洞更新交互的当天，说明捕获部分漏洞利用需要安全团队及时更新捕获系统，这对安全团队响应公开漏洞利用的速度提出了挑战，只有尽快响应相关的漏洞利用，才能尽早捕获到相关的利用行为。

一、脆弱性分析

该漏洞针对Edimax WiFi桥接器的Web服务，触发RCE的PATH_INFO为：/goform/mp，通过向body中的特定位置插入命令，仅需发送一条POST请求即可触发RCE漏洞。该漏洞针对的设备类型有两类，一类设备无需认证即可完成命令注入，另一类设备需要认证才能注入，但其用于认证的密码可以通过发送GET请求（PATH_INFO为：/wizard_reboot.asp），在结果中截取，之后即可通过获取的密码完成命令注入。漏洞细节参见EDB-ID:48315 。

另外，我们也检索了Exploit DB中Edimax的其他漏洞，发现除本文所述漏洞利用外，Edimax还存在8个漏洞利用，详情参见EDB-ID：48366[[2]、EDB-ID：48365[3]、EDB-ID：38056[[4]、EDB-ID：38029[[5]、EDB-ID：37405[6]、EDB-ID：24503[7]、EDB-ID：23528[8]、EDB-ID：12036[9]。

二、暴露情况分析

Exploit DB公布的漏洞利用中，具备脆弱性的Edimax WiFi桥接器可以分为两类，一类为无需认证，另一类需要认证。

1无需认证的Edimax WiFi桥接器

通过使用绿盟威胁情报中心对无需认证的Edimax WiFi桥接器指纹进行搜索，共发现665条记录（2020年至成稿），排名前十的端口开放情况如图 2.1 所示，从端口分布可以看出WEB服务的端口数量最多，比如7547，443，80都是HTTP(s)的常用端口。另外，大量的小众端口，存在仅暴露1-2台该设备的情况。

图 2.1 无需认证排名前十的Edimax WiFi桥接器开放端口情况（2020至成稿）

暴露且无需认证的Edimax WiFi桥接器国家分布（前十）情况如图 2.2 所示，可以看出美国的暴露数量明显多于其他国家。另外，许多国家存在仅暴露1-2台该设备的情况。

图 2.2 无需认证的Edimax WiFi桥接器国家分布（前十）情况（2020至成稿）

2需要认证的Edimax WiFi桥接器

绿盟威胁情报中心显示，需要认证的Edimax WiFi桥接器共有5580条记录（2020年至今的累计存活数量），端口开放情况如图 2.3 所示，从端口分布可以看出DNS服务默认的53端口数量最多，其余端口大多为Web服务常用端口，如80、8080、7547都是HTTP(s)的常用端口。另外，大量的小众端口，存在仅暴露1-2台该设备的情况。

图 2.3 需认证排名前十的Edimax WiFi桥接器开放端口情况（2020至成稿）

暴露但需要认证的Edimax WiFi桥接器国家分布（前十）情况如图 2.4 所示，可以看出中国的暴露数量远远多于其他国家，其次是泰国。另外，大量国家存在仅暴露1-2台该设备的情况。

图 2.4 需认证的Edimax WiFi桥接器国家分布（前十）情况（2020至成稿）

三、威胁分析

1时间线

2020年4月14日

Exploit DB公布了一个针对Edimax WiFi桥接器的远程代码执行漏洞。

2020年4月18日

我们在绿盟科技威胁捕获系统中紧急增加了针对该漏洞的交互。

2020年4月18日

我们捕获到通过请求dnslog.cn以探测具备脆弱性设备的行为，详情参见3.5 。

2020年4月19日

我们捕获到利用该漏洞投递样本的行为，同时发现攻击者正在更新投递的样本。

2020年4月21日

我们发现利用该漏洞投递样本的行为出现了爆发的现象。

2攻击趋势

我们对攻击次数进行了统计，如图 3.1 所示。发现攻击的次数在4月18日我们更新了捕获系统后总体呈现上升趋势，4月21日开始，出现了大量投递样本的行为。

图 3.1 攻击次数变化趋势

我们统计了攻击源数量变化和捕获到该攻击的节点数量变化，如图 3.2 所示。可以看出攻击源数量和捕获到该攻击的节点数量均呈现上升的趋势。由于攻击源数量反映了僵尸网络投入攻击的力度，捕获到攻击节点数量反映了受影响的范围，这两点一致呈现上升趋势可以得出结论，攻击者正加大对该漏洞的利用力度。

图 3.2 攻击源和捕获到该攻击节点数量的变化趋势

3个别攻击源分析

截至成稿，我们发现针对该漏洞的利用，仍以固定的攻击源为主，攻击者没有发动僵尸主机参与，但我们发现部分攻击源除探测、利用Edimax WiFi桥接器的RCE漏洞外，还探测利用了其他漏洞：

我们发现位于加拿大的攻击源：64.227.18.60，除探测Edimax WiFi桥接器的RCE漏洞外，还在探测Hadoop YARN ResourceManager的一个命令执行漏洞，漏洞详情参见EDB-ID：45025。同时也在利用以下漏洞投递样本：

- Netgear DGN1000的一个远程代码执行漏洞，漏洞利用详情参见EDB-ID：43055[10]。

- AVTECH IP Camera / NVR / DVR的多个漏洞，漏洞利用详情参见EDB-ID：40500[11]。

我们发现位于美国的攻击源：209.141.46.189，除利用Edimax WiFi桥接器的RCE漏洞投递样本外，还在积极利用AVTECH IP Camera / NVR / DVR的多个漏洞投递样本，漏洞利用详情参见EDB-ID：40500[11]。

4样本投递

针对Edimax WiFi桥接器漏洞投递的部分样本如下，绿盟威胁情报中心的识别显示部分样本为Gafgyt家族的变种。说明部分蠕虫家族已经更新其漏洞库，对这些设备发动攻击。

表 3.1 部分样本源文件名与SHA256

>>>>

4.1 其他IoC

CC：

138.68.23.95:51337

URLs：

http://45.133.9.21/f.sh

http://138.68.23.95/un1on.sh

http://mydatahere.30c67f1dfaf2f26abbda.d.zhack.ca/delivery.sh

http://64.227.18.60/edimax.sh

http://64.227.18.60/deliveryy.sh

http://jjj.x5ak8k.dnslog.cn

5其他发现

在分析过程中，我们发现某个位于江苏电信的扫描源利用匿名DNS Log平台对扫描回显进行探测，虽然基于DNS Log的探测方式常用于红队渗透过程中对无回显目标的攻击，但将其用于网络空间中的大规模扫描，尚属新颖，这是我们第二次观测到利用DNS Log平台接收回显的扫描尝试。由于DNS Log平台可以通过开源项目自行搭建，我们没有对其进行完整的分析，但基于其原理，我们认为将这种探测方式应用于大规模扫描，效果不甚理想。

参考文献：

[1] ExploitDB. Edimax Technology EW-7438RPn-v3 Mini 1.27 - Remote Code Execution.https://www.exploit-db.com/exploits/48318.

[2] Exploit DB.Edimax EW-7438RPn - Cross-Site Request Forgery (MAC Filtering). https://www.exploit-db.com/exploits/48366.

[3] Exploit DB.Edimax EW-7438RPn - Information Disclosure (WiFi Password). https://www.exploit-db.com/exploits/48365.

[4] Exploit DB. Edimax BR6228nS/BR6228nC - Multiple Vulnerabilities. https://www.exploit-db.com/exploits/38056.

[5] Exploit DB.Edimax PS-1206MF - Web Admin Authentication Bypass. https://www.exploit-db.com/exploits/38029.

[6] Exploit DB.Edimax IC-3030iWn - UDP Packet Password Information Disclosure. https://www.exploit-db.com/exploits/37405.

[7] Exploit DB.Edimax EW-7206-APg and EW-7209APg - Multiple Vulnerabilities. https://www.exploit-db.com/exploits/24503.

[8] Exploit DB.Edimax AR-6004 ADSL Router - Management Interface Cross-Site Scripting.https://www.exploit-db.com/exploits/23528.

[9] Exploit DB.Edimax AR-7084GA Router - Cross-Site Request Forgery / Persistent Cross-SiteScripting. https://www.exploit-db.com/exploits/12036.

[10] ExploitDB. Netgear DGN1000 1.1.00.48 - 'Setup.cgi' Remote Code Execution (Metasploit).https://www.exploit-db.com/exploits/43055

[11] ExploitDB. AVTECH IP Camera / NVR / DVR Devices - Multiple Vulnerabilities.https://www.exploit-db.com/exploits/40500