执行摘要
2020年4月14日,Exploit DB公布了一个针对Edimax WiFi桥接器的远程执行漏洞的利用(EDB-ID:48318[1]),该利用从Shodan搜索条件到下发样本非常详细,我们结合绿盟威胁情报中心对相应设备的暴露情况进行了验证,发现2020年至今,其暴露数量总计在6000台以上。因此近日,紧急在绿盟威胁捕获系统中增加了针对该漏洞的交互,随即捕获到针对该漏洞的探测和利用行为,本文将通过脆弱性、暴露情况以及威胁分析三个方面,叙述本次发现的相关活动。
通过分析脆弱性,我们发现除了本文提到2020年4月14日由Exploit DB公布的RCE之外,Exploit DB中还存在8个Edimax的漏洞利用。
通过分析互联网暴露情况,我们发现2020年至今,互联网中暴露的无需认证的Edimax WiFi桥接器共665个,暴露但需要认证的Edimax WiFi桥接器共5580个。
通过威胁分析,我们发现,在对漏洞利用增加交互的当天(2020年4月18日),便捕获到了利用匿名DNS Log平台对该漏洞的探测行为。次日(2020年4月19日)便捕获到利用该漏洞投递样本的行为。整个事件的流程为:
4月14日
漏洞利用公布。
4月18日
我们紧急在绿盟科技威胁捕获系统中增加了针对该漏洞的交互。
4月18日
我们捕获到针对该漏洞的探测行为,值得注意的是,此次捕获到的探测行为不同于往常,其尝试请求dnslog.cn,通过查询dns记录的方式确认设备是否具备脆弱性。
4月19日
我们捕获到利用该漏洞投递样本的行为。
4月21日
利用该漏洞投递样本的行为出现了爆发的现象。
截至成稿,我们发现针对该漏洞的利用行为仍呈现急剧上升的趋势,应引起安全团队的重视。本次捕获的攻击,最早出现在针对该漏洞更新交互的当天,说明捕获部分漏洞利用需要安全团队及时更新捕获系统,这对安全团队响应公开漏洞利用的速度提出了挑战,只有尽快响应相关的漏洞利用,才能尽早捕获到相关的利用行为。
一、脆弱性分析
该漏洞针对Edimax WiFi桥接器的Web服务,触发RCE的PATH_INFO为:/goform/mp,通过向body中的特定位置插入命令,仅需发送一条POST请求即可触发RCE漏洞。该漏洞针对的设备类型有两类,一类设备无需认证即可完成命令注入,另一类设备需要认证才能注入,但其用于认证的密码可以通过发送GET请求(PATH_INFO为:/wizard_reboot.asp),在结果中截取,之后即可通过获取的密码完成命令注入。漏洞细节参见EDB-ID:48315 。
另外,我们也检索了Exploit DB中Edimax的其他漏洞,发现除本文所述漏洞利用外,Edimax还存在8个漏洞利用,详情参见EDB-ID:48366[[2]、EDB-ID:48365[3]、EDB-ID:38056[[4]、EDB-ID:38029[[5]、EDB-ID:37405[6]、EDB-ID:24503[7]、EDB-ID:23528[8]、EDB-ID:12036[9]。
二、暴露情况分析
Exploit DB公布的漏洞利用中,具备脆弱性的Edimax WiFi桥接器可以分为两类,一类为无需认证,另一类需要认证。
1无需认证的Edimax WiFi桥接器
通过使用绿盟威胁情报中心对无需认证的Edimax WiFi桥接器指纹进行搜索,共发现665条记录(2020年至成稿),排名前十的端口开放情况如图 2.1 所示,从端口分布可以看出WEB服务的端口数量最多,比如7547,443,80都是HTTP(s)的常用端口。另外,大量的小众端口,存在仅暴露1-2台该设备的情况。
图 2.1 无需认证排名前十的Edimax WiFi桥接器开放端口情况(2020至成稿)
暴露且无需认证的Edimax WiFi桥接器国家分布(前十)情况如图 2.2 所示,可以看出美国的暴露数量明显多于其他国家。另外,许多国家存在仅暴露1-2台该设备的情况。
图 2.2 无需认证的Edimax WiFi桥接器国家分布(前十)情况(2020至成稿)
2需要认证的Edimax WiFi桥接器
绿盟威胁情报中心显示,需要认证的Edimax WiFi桥接器共有5580条记录(2020年至今的累计存活数量),端口开放情况如图 2.3 所示,从端口分布可以看出DNS服务默认的53端口数量最多,其余端口大多为Web服务常用端口,如80、8080、7547都是HTTP(s)的常用端口。另外,大量的小众端口,存在仅暴露1-2台该设备的情况。
图 2.3 需认证排名前十的Edimax WiFi桥接器开放端口情况(2020至成稿)
暴露但需要认证的Edimax WiFi桥接器国家分布(前十)情况如图 2.4 所示,可以看出中国的暴露数量远远多于其他国家,其次是泰国。另外,大量国家存在仅暴露1-2台该设备的情况。
图 2.4 需认证的Edimax WiFi桥接器国家分布(前十)情况(2020至成稿)
三、威胁分析
1时间线
2020年4月14日
Exploit DB公布了一个针对Edimax WiFi桥接器的远程代码执行漏洞。
2020年4月18日
我们在绿盟科技威胁捕获系统中紧急增加了针对该漏洞的交互。
2020年4月18日
我们捕获到通过请求dnslog.cn以探测具备脆弱性设备的行为,详情参见3.5 。
2020年4月19日
我们捕获到利用该漏洞投递样本的行为,同时发现攻击者正在更新投递的样本。
2020年4月21日
我们发现利用该漏洞投递样本的行为出现了爆发的现象。
2攻击趋势
我们对攻击次数进行了统计,如图 3.1 所示。发现攻击的次数在4月18日我们更新了捕获系统后总体呈现上升趋势,4月21日开始,出现了大量投递样本的行为。
图 3.1 攻击次数变化趋势
我们统计了攻击源数量变化和捕获到该攻击的节点数量变化,如图 3.2 所示。可以看出攻击源数量和捕获到该攻击的节点数量均呈现上升的趋势。由于攻击源数量反映了僵尸网络投入攻击的力度,捕获到攻击节点数量反映了受影响的范围,这两点一致呈现上升趋势可以得出结论,攻击者正加大对该漏洞的利用力度。
图 3.2 攻击源和捕获到该攻击节点数量的变化趋势
3个别攻击源分析
截至成稿,我们发现针对该漏洞的利用,仍以固定的攻击源为主,攻击者没有发动僵尸主机参与,但我们发现部分攻击源除探测、利用Edimax WiFi桥接器的RCE漏洞外,还探测利用了其他漏洞:
我们发现位于加拿大的攻击源:64.227.18.60,除探测Edimax WiFi桥接器的RCE漏洞外,还在探测Hadoop YARN ResourceManager的一个命令执行漏洞,漏洞详情参见EDB-ID:45025。同时也在利用以下漏洞投递样本:
- Netgear DGN1000的一个远程代码执行漏洞,漏洞利用详情参见EDB-ID:43055[10]。
- AVTECH IP Camera / NVR / DVR的多个漏洞,漏洞利用详情参见EDB-ID:40500[11]。
我们发现位于美国的攻击源:209.141.46.189,除利用Edimax WiFi桥接器的RCE漏洞投递样本外,还在积极利用AVTECH IP Camera / NVR / DVR的多个漏洞投递样本,漏洞利用详情参见EDB-ID:40500[11]。
4样本投递
针对Edimax WiFi桥接器漏洞投递的部分样本如下,绿盟威胁情报中心的识别显示部分样本为Gafgyt家族的变种。说明部分蠕虫家族已经更新其漏洞库,对这些设备发动攻击。
表 3.1 部分样本源文件名与SHA256
>>>>
4.1 其他IoC
CC:
138.68.23.95:51337
URLs:
http://45.133.9.21/f.sh
http://138.68.23.95/un1on.sh
http://mydatahere.30c67f1dfaf2f26abbda.d.zhack.ca/delivery.sh
http://64.227.18.60/edimax.sh
http://64.227.18.60/deliveryy.sh
http://jjj.x5ak8k.dnslog.cn
5其他发现
在分析过程中,我们发现某个位于江苏电信的扫描源利用匿名DNS Log平台对扫描回显进行探测,虽然基于DNS Log的探测方式常用于红队渗透过程中对无回显目标的攻击,但将其用于网络空间中的大规模扫描,尚属新颖,这是我们第二次观测到利用DNS Log平台接收回显的扫描尝试。由于DNS Log平台可以通过开源项目自行搭建,我们没有对其进行完整的分析,但基于其原理,我们认为将这种探测方式应用于大规模扫描,效果不甚理想。
[1] ExploitDB. Edimax Technology EW-7438RPn-v3 Mini 1.27 - Remote Code Execution.https://www.exploit-db.com/exploits/48318.
[2] Exploit DB.Edimax EW-7438RPn - Cross-Site Request Forgery (MAC Filtering). https://www.exploit-db.com/exploits/48366.
[3] Exploit DB.Edimax EW-7438RPn - Information Disclosure (WiFi Password). https://www.exploit-db.com/exploits/48365.
[4] Exploit DB. Edimax BR6228nS/BR6228nC - Multiple Vulnerabilities. https://www.exploit-db.com/exploits/38056.
[5] Exploit DB.Edimax PS-1206MF - Web Admin Authentication Bypass. https://www.exploit-db.com/exploits/38029.
[6] Exploit DB.Edimax IC-3030iWn - UDP Packet Password Information Disclosure. https://www.exploit-db.com/exploits/37405.
[7] Exploit DB.Edimax EW-7206-APg and EW-7209APg - Multiple Vulnerabilities. https://www.exploit-db.com/exploits/24503.
[8] Exploit DB.Edimax AR-6004 ADSL Router - Management Interface Cross-Site Scripting.https://www.exploit-db.com/exploits/23528.
[9] Exploit DB.Edimax AR-7084GA Router - Cross-Site Request Forgery / Persistent Cross-SiteScripting. https://www.exploit-db.com/exploits/12036.
[10] ExploitDB. Netgear DGN1000 1.1.00.48 - 'Setup.cgi' Remote Code Execution (Metasploit).https://www.exploit-db.com/exploits/43055
[11] ExploitDB. AVTECH IP Camera / NVR / DVR Devices - Multiple Vulnerabilities.https://www.exploit-db.com/exploits/40500