it-news

March 13, 2020

AA20-073A: Enterprise VPN Security

Original release date: March 13, 2020 Summary As organizations prepare for possible impacts of Coronavirus Disease 2019 (COVID-19), many may consider alternate workplace options for their […]
March 14, 2020

What is your GCP infra worth?…about ~$700 [Bugbounty]

BugBounty story #bugbountytips A fixed but they didn’t pay the bugbounty story… Timeline: reported 21 Oct 2019 validated at Critical  23 Oct 2019 validated as fixed 30 […]
March 20, 2020

Multiple botnets are spreading using LILIN DVR 0-day

Author:Yanlong Ma,Lingming Tu,Genshen Ye,Hongda Liu When we talk about DDos botnet, we tend to think the typical scenario, some mediocre, code-borrowing scripts target old vulnerabilities. But […]
March 20, 2020

LILIN DVR 在野0-day 漏洞分析报告

本文作者:马延龙,涂凌鸣,叶根深,刘宏达 当我们研究Botnet时,我们一般看到的是攻击者通过N-day漏洞植入Bot程序。但慢慢的,我们看到一个新的趋势,一些攻击者开始更多地利用0-day漏洞发起攻击,利用手段也越发成熟。我们希望安全社区关注到这一现象,积极合作共同应对0-day漏洞攻击威胁。 背景介绍 从2019年8月30号开始,360Netlab未知威胁检测系统持续监测到多个攻击团伙使用LILIN DVR 0-day漏洞传播Chalubo[1],FBot[2],Moobot[3]僵尸网络。 在2020年1月19号,我们开始联系设备厂商LILIN。在2020年2月13号,厂商修复了该漏洞[4],并发布了最新的固件程序2.0b60_20200207[5]。 漏洞分析 LILIN 0-day漏洞主要包括:硬编码登陆账号密码,/z/zbin/dvr_box命令注入漏洞和/z/zbin/net_html.cgi任意文件读取漏洞。其中/z/zbin/dvr_box对外提供Web服务,它的Web接口/dvr/cmd或/cn/cmd存在命令注入漏洞。我们观察到被注入的参数包括:NTPUpdate,FTP,NTP。 硬编码登陆账号密码列表: root/icatch99 report/8Jg0SR8K50 默认账号密码: admin/123456 NTPUpdate 注入漏洞分析 /z/zbin/dvr_box 程序中的dvr_serv::do_request()函数负责解析DVRPOST传入的XML配置,并调用相应的处理函数; dvr_core::NTPUpdate()函数将Server字段传入到依赖库libutility.so中的UtilityBox::UtilityNtp::run()函数; UtilityBox::UtilityNtp::run()函数根据Server字段值,拼接并执行ntp时间同步命令; 由于以上过程缺乏对Server字段的特殊字符的过滤,导致命令注入。 在2.0b60_20200207版本中,厂商在步骤3通过调用UtilityBox::Utility::ValidateHostName()函数检验Server字段,修复了该漏洞。 FTP和NTP 注入漏洞分析 通过硬编码登陆账号密码和/z/zbin/net_html.cgi程序中的任意文件读取漏洞[6],获取设备配置文件信息/zconf/service.xml; […]