专栏首页绿盟科技研究通讯首发—攻击者开始攻击Edimax WiFi桥接器

首发—攻击者开始攻击Edimax WiFi桥接器

执行摘要

2020年4月14日,Exploit DB公布了一个针对Edimax WiFi桥接器的远程执行漏洞的利用(EDB-ID:48318[1]),该利用从Shodan搜索条件到下发样本非常详细,我们结合绿盟威胁情报中心对相应设备的暴露情况进行了验证,发现2020年至今,其暴露数量总计在6000台以上。因此近日,紧急在绿盟威胁捕获系统中增加了针对该漏洞的交互,随即捕获到针对该漏洞的探测和利用行为,本文将通过脆弱性、暴露情况以及威胁分析三个方面,叙述本次发现的相关活动。

通过分析脆弱性,我们发现除了本文提到2020年4月14日由Exploit DB公布的RCE之外,Exploit DB中还存在8个Edimax的漏洞利用。

通过分析互联网暴露情况,我们发现2020年至今,互联网中暴露的无需认证的Edimax WiFi桥接器共665个,暴露但需要认证的Edimax WiFi桥接器共5580个。

通过威胁分析,我们发现,在对漏洞利用增加交互的当天(2020年4月18日),便捕获到了利用匿名DNS Log平台对该漏洞的探测行为。次日(2020年4月19日)便捕获到利用该漏洞投递样本的行为。整个事件的流程为:

4月14日

漏洞利用公布。

4月18日

我们紧急在绿盟科技威胁捕获系统中增加了针对该漏洞的交互。

4月18日

我们捕获到针对该漏洞的探测行为,值得注意的是,此次捕获到的探测行为不同于往常,其尝试请求dnslog.cn,通过查询dns记录的方式确认设备是否具备脆弱性。

4月19日

我们捕获到利用该漏洞投递样本的行为。

4月21日

利用该漏洞投递样本的行为出现了爆发的现象。

截至成稿,我们发现针对该漏洞的利用行为仍呈现急剧上升的趋势,应引起安全团队的重视。本次捕获的攻击,最早出现在针对该漏洞更新交互的当天,说明捕获部分漏洞利用需要安全团队及时更新捕获系统,这对安全团队响应公开漏洞利用的速度提出了挑战,只有尽快响应相关的漏洞利用,才能尽早捕获到相关的利用行为。

一、脆弱性分析

该漏洞针对Edimax WiFi桥接器的Web服务,触发RCE的PATH_INFO为:/goform/mp,通过向body中的特定位置插入命令,仅需发送一条POST请求即可触发RCE漏洞。该漏洞针对的设备类型有两类,一类设备无需认证即可完成命令注入,另一类设备需要认证才能注入,但其用于认证的密码可以通过发送GET请求(PATH_INFO为:/wizard_reboot.asp),在结果中截取,之后即可通过获取的密码完成命令注入。漏洞细节参见EDB-ID:48315 。

另外,我们也检索了Exploit DB中Edimax的其他漏洞,发现除本文所述漏洞利用外,Edimax还存在8个漏洞利用,详情参见EDB-ID:48366[[2]、EDB-ID:48365[3]、EDB-ID:38056[[4]、EDB-ID:38029[[5]、EDB-ID:37405[6]、EDB-ID:24503[7]、EDB-ID:23528[8]、EDB-ID:12036[9]。

二、暴露情况分析

Exploit DB公布的漏洞利用中,具备脆弱性的Edimax WiFi桥接器可以分为两类,一类为无需认证,另一类需要认证。

1无需认证的Edimax WiFi桥接器

通过使用绿盟威胁情报中心对无需认证的Edimax WiFi桥接器指纹进行搜索,共发现665条记录(2020年至成稿),排名前十的端口开放情况如图 2.1 所示,从端口分布可以看出WEB服务的端口数量最多,比如7547,443,80都是HTTP(s)的常用端口。另外,大量的小众端口,存在仅暴露1-2台该设备的情况。

图 2.1 无需认证排名前十的Edimax WiFi桥接器开放端口情况(2020至成稿)

暴露且无需认证的Edimax WiFi桥接器国家分布(前十)情况如图 2.2 所示,可以看出美国的暴露数量明显多于其他国家。另外,许多国家存在仅暴露1-2台该设备的情况。

图 2.2 无需认证的Edimax WiFi桥接器国家分布(前十)情况(2020至成稿)

2需要认证的Edimax WiFi桥接器

绿盟威胁情报中心显示,需要认证的Edimax WiFi桥接器共有5580条记录(2020年至今的累计存活数量),端口开放情况如图 2.3 所示,从端口分布可以看出DNS服务默认的53端口数量最多,其余端口大多为Web服务常用端口,如80、8080、7547都是HTTP(s)的常用端口。另外,大量的小众端口,存在仅暴露1-2台该设备的情况。

图 2.3 需认证排名前十的Edimax WiFi桥接器开放端口情况(2020至成稿)

暴露但需要认证的Edimax WiFi桥接器国家分布(前十)情况如图 2.4 所示,可以看出中国的暴露数量远远多于其他国家,其次是泰国。另外,大量国家存在仅暴露1-2台该设备的情况。

图 2.4 需认证的Edimax WiFi桥接器国家分布(前十)情况(2020至成稿)

三、威胁分析

1时间线

2020年4月14日

Exploit DB公布了一个针对Edimax WiFi桥接器的远程代码执行漏洞。

2020年4月18日

我们在绿盟科技威胁捕获系统中紧急增加了针对该漏洞的交互。

2020年4月18日

我们捕获到通过请求dnslog.cn以探测具备脆弱性设备的行为,详情参见3.5 。

2020年4月19日

我们捕获到利用该漏洞投递样本的行为,同时发现攻击者正在更新投递的样本。

2020年4月21日

我们发现利用该漏洞投递样本的行为出现了爆发的现象。

2攻击趋势

我们对攻击次数进行了统计,如图 3.1 所示。发现攻击的次数在4月18日我们更新了捕获系统后总体呈现上升趋势,4月21日开始,出现了大量投递样本的行为。

图 3.1 攻击次数变化趋势

我们统计了攻击源数量变化和捕获到该攻击的节点数量变化,如图 3.2 所示。可以看出攻击源数量和捕获到该攻击的节点数量均呈现上升的趋势。由于攻击源数量反映了僵尸网络投入攻击的力度,捕获到攻击节点数量反映了受影响的范围,这两点一致呈现上升趋势可以得出结论,攻击者正加大对该漏洞的利用力度。

图 3.2 攻击源和捕获到该攻击节点数量的变化趋势

3个别攻击源分析

截至成稿,我们发现针对该漏洞的利用,仍以固定的攻击源为主,攻击者没有发动僵尸主机参与,但我们发现部分攻击源除探测、利用Edimax WiFi桥接器的RCE漏洞外,还探测利用了其他漏洞:

我们发现位于加拿大的攻击源:64.227.18.60,除探测Edimax WiFi桥接器的RCE漏洞外,还在探测Hadoop YARN ResourceManager的一个命令执行漏洞,漏洞详情参见EDB-ID:45025。同时也在利用以下漏洞投递样本:

- Netgear DGN1000的一个远程代码执行漏洞,漏洞利用详情参见EDB-ID:43055[10]。

- AVTECH IP Camera / NVR / DVR的多个漏洞,漏洞利用详情参见EDB-ID:40500[11]。

我们发现位于美国的攻击源:209.141.46.189,除利用Edimax WiFi桥接器的RCE漏洞投递样本外,还在积极利用AVTECH IP Camera / NVR / DVR的多个漏洞投递样本,漏洞利用详情参见EDB-ID:40500[11]。

4样本投递

针对Edimax WiFi桥接器漏洞投递的部分样本如下,绿盟威胁情报中心的识别显示部分样本为Gafgyt家族的变种。说明部分蠕虫家族已经更新其漏洞库,对这些设备发动攻击。

表 3.1 部分样本源文件名与SHA256

>>>>

4.1 其他IoC

CC:

138.68.23.95:51337

URLs:

http://45.133.9.21/f.sh

http://138.68.23.95/un1on.sh

http://mydatahere.30c67f1dfaf2f26abbda.d.zhack.ca/delivery.sh

http://64.227.18.60/edimax.sh

http://64.227.18.60/deliveryy.sh

http://jjj.x5ak8k.dnslog.cn

5其他发现

在分析过程中,我们发现某个位于江苏电信的扫描源利用匿名DNS Log平台对扫描回显进行探测,虽然基于DNS Log的探测方式常用于红队渗透过程中对无回显目标的攻击,但将其用于网络空间中的大规模扫描,尚属新颖,这是我们第二次观测到利用DNS Log平台接收回显的扫描尝试。由于DNS Log平台可以通过开源项目自行搭建,我们没有对其进行完整的分析,但基于其原理,我们认为将这种探测方式应用于大规模扫描,效果不甚理想。

参考文献:

[1] ExploitDB. Edimax Technology EW-7438RPn-v3 Mini 1.27 - Remote Code Execution.https://www.exploit-db.com/exploits/48318.

[2] Exploit DB.Edimax EW-7438RPn - Cross-Site Request Forgery (MAC Filtering). https://www.exploit-db.com/exploits/48366.

[3] Exploit DB.Edimax EW-7438RPn - Information Disclosure (WiFi Password). https://www.exploit-db.com/exploits/48365.

[4] Exploit DB. Edimax BR6228nS/BR6228nC - Multiple Vulnerabilities. https://www.exploit-db.com/exploits/38056.

[5] Exploit DB.Edimax PS-1206MF - Web Admin Authentication Bypass. https://www.exploit-db.com/exploits/38029.

[6] Exploit DB.Edimax IC-3030iWn - UDP Packet Password Information Disclosure. https://www.exploit-db.com/exploits/37405.

[7] Exploit DB.Edimax EW-7206-APg and EW-7209APg - Multiple Vulnerabilities. https://www.exploit-db.com/exploits/24503.

[8] Exploit DB.Edimax AR-6004 ADSL Router - Management Interface Cross-Site Scripting.https://www.exploit-db.com/exploits/23528.

[9] Exploit DB.Edimax AR-7084GA Router - Cross-Site Request Forgery / Persistent Cross-SiteScripting. https://www.exploit-db.com/exploits/12036.

[10] ExploitDB. Netgear DGN1000 1.1.00.48 - 'Setup.cgi' Remote Code Execution (Metasploit).https://www.exploit-db.com/exploits/43055

[11] ExploitDB. AVTECH IP Camera / NVR / DVR Devices - Multiple Vulnerabilities.https://www.exploit-db.com/exploits/40500

本文分享自微信公众号 - 绿盟科技研究通讯(nsfocus_research),作者:格物实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 又针对物联网设备?以Abcd为特征的新威胁

    通过绿盟威胁捕获系统,我们发现了一批具有特定行为和目标的攻击者,其攻击所用HTTP请求包中的User-Agent字段往往是确定内容:“Abcd”,主要感染目标涉...

    绿盟科技研究通讯
  • 主流云原生微服务API网关成熟度与安全功能对比分析

    在整个微服务架构中,API网关充当着非常重要的一环,它不仅要负责外部所有的流量接入,同时还要在网关入口处根据不同类型请求提供流量控制、日志收集、性能分析、速率限...

    绿盟科技研究通讯
  • 【RSA2019创新沙盒】ShiftLeft:面向软件开发生命周期的持续性安全防护

    ShiftLeft公司,成立于2016年,总部位于美国加利福尼亚州圣克拉拉市。该公司致力于将应用的静态防护和运行时防护与应用开发自动化工作流相结合以提升软件开发...

    绿盟科技研究通讯
  • 2020年3月网络安全态势分析

    总体看三月份的新增漏洞呈上升趋势,新增高危漏洞113个,主要分布在微软、Adobe、Moxa、Videolabs实验室、VISAM、Siemens、Rockwe...

    绿盟科技安全情报
  • Hadoop学习2--Linux准备及环境准备

    1、环境安装: 虚拟机:VMware Player 系统:Ubuntu12 注意事项:注意位数,包括系统,java,Hadoop 2、切换账号 当前登录账号是自...

    小端
  • Vue Router踩的坑,链接参数拼接报错的解决方法

    使用 Vue Router 的 <router-link> 拼接参数时报错,页面无法正常解析出来。

    德顺
  • 网站漏洞怎么修复对于thinkphp的漏洞修复

    THINKPHP漏洞修复,官方于近日,对现有的thinkphp5.0到5.1所有版本进行了升级,以及补丁更新,这次更新主要是进行了一些漏洞修复,最严重的就是之前...

    网站安全专家
  • 网站漏洞修复对于网站清除木马的解决办法

    THINKPHP漏洞修复,官方于近日,对现有的thinkphp5.0到5.1所有版本进行了升级,以及补丁更新,这次更新主要是进行了一些漏洞修复,最严重的就是之前...

    技术分享达人
  • 从单片机工程师的角度看嵌入式

    这篇文章简单我们来一起梳理嵌入式Linux的一些知识,方便于一些想跟我一样想要由单片机进阶到嵌入式Linux的朋友做一些参考学习。

    正念君
  • 1.1 Virtualbox虚拟机快速入门

    版权声明:本文为王小雷原创文章,未经博主允许不得转载 https://blog.csdn.n...

    王小雷

扫码关注云+社区

领取腾讯云代金券