专栏首页绿盟科技研究通讯安全产品不安全?僵尸网络瞄准SonicWall SSL V**

安全产品不安全?僵尸网络瞄准SonicWall SSL V**

一、事件简介

近期,我们的威胁捕获系统捕获到一个利用SonicWall “Virtual Office” SSL V** RCE进行传播的Mirai dark系列变种,该系列多以dark.[platform]命名恶意文件。经过分析,除使用上述漏洞传播以外,该变种还使用了1个0day、6个1day以及2个Nday漏洞,影响SSL V**、路由器、NAS、Web网关等多种设备。

其中,Netis WF2419的Nday漏洞(CVE-2019-19356)被NVD公布已经时隔一年,虽然漏洞及利用已经公布,但厂商依然没有修补,说明除0day漏洞外,僵尸网络同样关注暴露在网络中存在脆弱性的老旧物联网设备。

最后,从F5 BIG-IP漏洞(CVE-2021-22991)的EXP公布(2021年3月10)到我们首次捕获到利用该漏洞传播恶意样本(2021年3月11)仅时隔1天;从SonicWall “VirtualOffice” SSL V** RCE漏洞利用公布(2020年1月24日)到我们首次捕获到漏洞探测行为(2020年1月27日)仅间隔3天。说明僵尸网络目前非常关注物联网相关的1day漏洞且效率极高,研究团队与僵尸网络的对抗已经上升到了对漏洞跟进效率的对抗。

二、威胁分析

2020年多个研究团队发现APT组织如Dark hotel,“Fox Kitten”等利用V**完成攻击活动,V**等安全产品的脆弱性引起了各方关注。而SonicWall“Virtual Office” SSL V**和F5 BIG-IP均属于流量、内容控制产品,安全产品反而出现RCE漏洞被利用,后果难以想象。由于僵尸网络针对F5BIG-IP漏洞(CVE-2021-22991)的攻击行为尚在演变,本节将就SonicWall “Virtual Office” SSL V**RCE的威胁分析做相关说明。

2.1背景概述

SonicWall是一家位于硅谷的私营公司,主要销售内容控制和网络安全相关产品,其旗下的“Virtual Office”产品宣称通过SSL V**技术为远程用户提供安全的互联网接入。

2021年1月24日,Darren Martyn在个人博客上公开了SonicWall “Virtual Office” SSL V**系列产品的一个远程代码执行漏洞及EXP。1月27日起,绿盟威胁捕获系统捕获到了针对该漏洞的相关探测、攻击活动。1月29日,漏洞利用平台ExploitDB收录了该漏洞利用,说明即使专注漏洞利用的ExploiDB依然存在EXP收录滞后的问题。

截至成稿,我们发现攻击者已经更新了漏洞探测的手法,且正逐渐增加探测活动的投入,使用相应产品的用户请及时升级固件,相关团队应提前做好预防措施。

2.2时间线

2.3攻击利用趋势

我们对漏洞探测及利用次数进行了统计,如图 2.1 所示。漏洞的探测行为首次出现在2021年2月17日,在Darren Martyn公开漏洞利用的前半个月相对活跃且出现了两轮高峰。2021年2月18日起出现投递样本行为利用次数较少。2021年3月9日起更换漏洞探测方式后,探测活动再次呈现上升趋势。

图 2.1 漏洞探测、利用次数变化趋势

我们对攻击源数量进行了统计,如图 2.2 所示。除2021年1月27日攻击源IP较多以外,其余时间段攻击源数量均小于5个,说明攻击者大部分时间段并未发动僵尸网络进行漏洞探测和利用,这与攻击者漏洞利用手法迅速变化的表现一致。

图 2.2 攻击源IP数量变化趋势

2.4 暴露情况分析

Darren Martyn的个人博客公开了SonicWall “Virtual Office”的设备指纹,通过Shodan检索公开的两个指纹,全网共计暴露约7000台以上SonicWall “Virtual Office”设备及服务,暴露情况最严重的地区为美国。

图 2.3 通过SonicWall “Virtual Office”指纹一检索的暴露情况

图 2.4 通过SonicWall “Virtual Office”指纹二检索的暴露情况

2.5下载器分析

经过分析,该样本直接在原版Mirai源码上构建,特点是增加了一个0day漏洞和多个1day漏洞。其下载器与常见下不同,分为三部分:

第一部分,下载器删除目标主机的/tmp、/home、/var/run、/etc/cron.d、 /etc/cron.daily/、/etc/init.d目录,即清除临时目录、用户主目录、自启动任务以及定时任务。

图 2.5 样本第一部分

第二部分,下载器从服务器拉取x86、mips、mpsl、arm4、arm5、arm6、arm7、ppc、m68k、sh4等架构的样本,重命名为nginx后执行相应样本,加大目标主机感染后相关人员排查的难度。

图 2.6 样本第二部分

第三部分,下载器将程序本身写入/etc/cron.d/目录,定时执行下载器自身。最后,清空目标主机所有的防火墙设置,并关闭22、23、80、443、8080、9000、8089、7070、8081、9090、161、5555、9600、21412端口。让目标主机彻底成为僵尸主机,运维人员和其他僵尸网络将无法通过上述端口,远程远程访问设备。

图 2.7 样本第三部分

三、脆弱性分析

通过对蜜罐日志以及样本的交叉分析,我们发现与其他Mirai变种相比,dark系列变种利用的漏洞涵盖了0day、1day以及Nday漏洞,其中存在较新的1day漏洞,也存在老旧的RCE漏洞,本节将就重点漏洞利用做相关说明。

3.1重点漏洞说明

>>>>

3.1.1 Crestron AM-100 0day

Crestron是美国一家私营跨国公司,是位于新泽西州罗克利的视听自动化和集成设备的制造商和分销商。该公司设计,制造和分发用于控制商业视听环境(如会议场所,会议室,教室和礼堂)中的技术的设备;Crestron设备还用于高端住宅视听设备。

我们捕获到dark系列僵尸网络利用了该公司AM-100 AirMedia®演示网关的0day漏洞传播样本。该漏洞通过AM-100的CGI服务触发,通过在POST请求的body中拼接命令即可完成命令注入。

>>>>

3.1.2 SonicWall “Virtual Office” SSL V** RCE

SonicWall “Virtual Office” SSL V** RCE(漏洞详情参见EDB-ID:49499)影响版本小于SMA 8.0.0.4的SonicWall相关设备,完整的请求如图 3.1 所示:

图 3.1 SonicWall “Virtual Office” SSL V**RCE完整请求

触发该漏洞的PATH_INFO为:/cgi-bin/jarrewrite.sh,命令执行的负载位于User-Agent,构建shellshock触发命令执行。

>>>>

3.1.3 CVE-2021-22991

F5公司是一家专门从事应用程序服务和应用程序交付网络(ADN)的美国公司。其产品最初基于负载平衡产品,后来已扩展到包括加速、应用安全性和DDoS防御。

CVE-2021-22991影响的设备包括:BIG-IP APM、BIG-IP ASM、BIG-IP PEM、Secure Web Gateway(SWG)、SSL Orchestrator、BIG-IP (all modules)。该漏洞通过构建类似HTTP的请求触发命令执行,完整payload如图 3.2 所示:

图 3.2 CVE-2021-22991完整请求

3.2漏洞汇总

表 3.1 Dark系列变种漏洞汇总

序号

漏洞编号

受影响设备或软件

1

Crestron AM-100 0day

Crestron AM-100

2

EDB-ID:49499

SonicWall “Virtual Office” SSL V**(版本< SMA 8.0.0.4)

3

CVE-2021-22991

BIG-IP APM、BIG-IP ASM、BIG-IP PEM、Secure Web Gateway (SWG)、SSL Orchestrator、BIG-IP (all modules)。

4

D-LInk shareCenter RCE

D-LInk DNS320

5

D-Link DIR-825 DoS

D-Link DIR-825、DIR-825_ACF_F1、DIR-825_AC_E、DIR-825_AC_E1A、DIR-825_A_D1A、DIR-825_GF,版本小于3.0.1

6

Micro Focus Operations Bridge Reporter多个漏洞

Operations Bridge Reporter版本小于10.40

7

CVE-2020-29557

D-Link DIR-825 R1(版本小于3.0.1)

8

CVE-2019-19356

Netis WF2419(版本:V1.2.31805 and V2.2.36123)

9

CVE-2021-27561/27562

Yealink DM(版本小于3.6.0.20)

附录A IoC及参考文献

A.1 IoC

部分样本SHA256

ecae298b18493bf2366f6081e8215a474cce4554e07a7b2380a7f8e8a3a9a37d

a9c4ea40b08ce4281c2dc9776355186dfc5649f9ec2b36c32fa5540f8d2aef2d

fb940b1049e0e95c03adb7a2750347108cadf6b19ef4149a5103f7625c07c8ec

1e56f8ca44f84eff212805fa061ecb0f6fb8bc9499ff2e541ad3c43fb2f4420a

515dc2fd8819c7fc82395acc4c7fb5b2903982a5f48bc26bc8d0235bc0664d1f

e2a6ac516ec8b5dcc76becc26cf992434882d490d8f2c9d7071298dba7a641a2

ac75cb71c2f052141a238b8f7215d5a0956f7034cf90f231d228ce58254d23ba

a5ca43106a713c4a8e978575b8685889c244501288b9fa7c7dc7f1e8c5ef1291

1d9496814d35d9e302d7e99339e9730fc81c022bc085c0711b73ebad962cbc2b

caa8b10057fb699d463f309913d0557462e8b37afdaf4d0c3cff63f9b9605f0d

971b5a96d84ca0d7dd906b639cd97a04835013be32356d09037cff64516c73bf

部分样本URLS

http://45.133.1.133/lolol.sh

http://45.133.1.133/bins/dark.arm4

http://45.133.1.133/bins/dark.arm6

http://45.133.1.133/bins/dark.arm5

http://45.133.1.133/bins/dark.arm7

http://45.133.1.133/bins/dark.ppc

http://45.133.1.133/bins/dark.mpsl

http://45.133.1.133/bins/dark.mips

http://45.133.1.133/bins/dark.x86

http://45.133.1.133/bins/dark.m68k

http://45.133.1.133/bins/dark.sh4

A.2 参考文献

[1] ExploitDB, SonicWall SSL-V**8.0.0.0 - 'shellshock/visualdoor' Remote Code Execution (Unauthenticated), https://www.exploit-db.com/exploits/49499.

[2] F5网络公司, TMM buffer-overflow vulnerability CVE-2021-22991, https://support.f5.com/csp/article/K56715231.

[3] WinMin, Disclosure ofvulnerabilities in D-LInk DNS320, https://gist.github.com/WinMin/6f63fd1ae95977e0e2d49bd4b5f00675.

[4] Shaked Delarea, ReversingDIR-825 Dlink router, https://shaqed.github.io/dlink.

[5] Pedro Ribeiro, Micro FocusOperations Bridge Reporter, https://github.com/pedrib/PoC/blob/master/advisories/Micro_Focus/Micro_Focus_OBR.md.

[6] NVD, CVE-2020-29557, https://nvd.nist.gov/vuln/detail/CVE-2020-29557.

[7] NVD, CVE-2019-19356, https://nvd.nist.gov/vuln/detail/CVE-2019-19356.

[8] SSD Advisory, Yealink DM PreAuth ‘root’ level RCE, https://ssd-disclosure.com/ssd-advisory-yealink-dm-pre-auth-root-level-rce/.

关于伏影实验室

研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。

内容编辑:伏影实验室 魏佩儒 赵光远 责任编辑:王星凯

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

本文分享自微信公众号 - 绿盟科技研究通讯(nsfocus_research),作者:伏影实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-03-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【云原生攻防研究】容器环境相关的内核漏洞缓解技术

    在容器逃逸技术概览一文中我们提到,由于容器与宿主机共享内核,内核漏洞成为容器逃逸的四大原因之一。由于潜在后果的严重性(提升至系统最高权限)和影响的广泛性(一个漏...

    绿盟科技研究通讯
  • 原创 | 某SCADA的远程代码执行漏洞挖掘与利用

    近年来网络安全形势日渐严峻,国内外都开始对工控安全越来越重视,而工控领域由于常年来对安全的忽视,导致暴露出数量惊人的严重安全漏洞,更为严重的是,相当一部分厂商即...

    绿盟科技研究通讯
  • 【RSA2019创新沙盒】ShiftLeft:面向软件开发生命周期的持续性安全防护

    ShiftLeft公司,成立于2016年,总部位于美国加利福尼亚州圣克拉拉市。该公司致力于将应用的静态防护和运行时防护与应用开发自动化工作流相结合以提升软件开发...

    绿盟科技研究通讯
  • Apache Flink窗口的几种实现的类别

    “ 无界数据于有界数据是一个比较于模糊的概念,无界与有界之间是可以进行转换的。无界数据流在进行某些计算的时候例如每分钟、每小时、每天等操作时都可以看做是有界数据...

    CainGao
  • CNNVD最新漏洞

    今日CNNVD共发布安全漏洞48个,更新安全漏洞2个。主要影响厂商为美国Google(22个)、美国IBM(6个)、美国Linux(4个),主要影响产品为And...

    企鹅号小编
  • Node.js 抓取数据过程的进度保持

    最近自己有个批量调用 API 抓取数据的需求,类似爬虫抓数据的感觉。听到爬虫二字,我们常常想到的是 Python, Beautiful Soup 之流,而对于...

    zgq354
  • Android基于JsBridge封装的高效带加载进度的WebView

    从去年4月项目就一直用起了JsBridge,前面也针对jsBridge使用姿势介绍过一篇入门篇,《Android JsBridge实战 打造专属你的Hybrid...

    开发者技术前线
  • CSS_文本的属性

    bye
  • 备忘录模式

    一、简介 1、备忘录 在不破坏封装性的前提下,捕获一个对象的内部状态,并在该对象之外保存这个状态。这样以后就可以将该对象恢复到原先保存的状态。 2、模式成员 (...

    用户1215536
  • 程序员必练六大项目:从数据结构到操作系统,计算机教授为你画重点

    如果你还在纠结,应该拿什么项目来开始自己的编程练习,不妨来看看这份“程序员都应该尝试的挑战性项目”清单。

    量子位

扫码关注云+社区

领取腾讯云代金券