本报告由CNCERT物联网安全研究团队与360网络安全研究院(360 Netlab)联合发布
一、概述
2020年3月17日,国外知名漏洞平台Exploit Database网站公布了一个针对Netlink GPON路由器设备的漏洞POC[1]。该漏洞是远程命令执行类的漏洞,黑客可以利用该漏洞在Netlink GPON路由器上进行恶意样本植入,进而控制设备发起DDos攻击、窃取敏感信息等恶意行为。
经与360网络安全研究院共同研究与分析,我们确定该漏洞与之前发现的一起物联网攻击威胁事件有关。2020年2月底我们发现有黑客组织利用0-day漏洞入侵并控制境内的设备,溯源分析发现被攻击设备是国内某厂商的网关类设备,设备类型与Netlink属于同类型设备,在野利用的0-day漏洞与[1]中发布的漏洞也一致。此外我们进一步还发现共计6个厂商9款型号的设备中存在同样的漏洞。因此,我们猜测厂商间的设备存在OEM情况,目前尚不清楚漏洞源头。
另外根据最新报告,发现境外APT组织利用深信服VPN设备的漏洞对我国境内多家重要机构持续发起攻击的行为[2]。随着越来越多的攻击事件被披露,说明网络空间中的各类物联网设备,尤其是路由器网关等关键设备,已成为各类黑客组织和APT组织的重要攻击目标。
二、漏洞分析
受影响的的网关类设备将Web管理系统暴露在互联网侧(WAN口),而它们本应该只向内网(LAN口)开放,因此攻击者可以远程攻击受影响的相关设备。
我们发现某品牌的网关设备GT3200-4F2P是此次0-day漏洞攻击的其中一个目标,下文主要以该设备为案例进行详细分析。
1默认密码漏洞
我们发现在配置文件:
/etc/product/config_epon.xml或/etc/product/config_gpon.xml中存在默认账号密码e8c/e8c。它们可被用于登陆设备Web管理系统。<Value Name="E8BDUSER_NAME" Value="e8c"/><Value Name="E8BDUSER_PASSWORD" Value="e8c"/>
此外,我们还发现该设备存在后门账号功能。
1.当配置文件PROVINCE_BACKDOOR_ENABLE为1时,允许后门账户e8ehome登陆,登陆密码通过PROVINCE_BACKDOOR_PWDTYPE选择;
2.当配置文件PROVINCE_BACKDOOR_PWDTYPE为1时,登陆密码为设备的MAC地址;
3.当配置文件PROVINCE_BACKDOOR_PWDTYPE为0时,登陆密码为e8ehome。
4.我们观察到攻击者使用了以下登陆账号和密码进行多次尝试:
admin/adminadminisp/adminispe8c/e8cuser/user
2target_addr命令注入漏洞
漏洞类型:远程命令执行(需要登陆)
漏洞原因:在设备/bin/boaWeb服务端程序内存在2个函数formPing()和formTracert()。
它们在处理/boaform/admin/formPing和/boaform/admin/formTracertPOST请求时,未检查target_addr参数就调用系统ping和traceroute命令,从而导致命令注入漏洞。
图一 ping命令注入。
图二 traceroute命令注入
我们在2020年2月底首次注意到了该0-day漏洞的在野利用行为,并捕获到了利用该漏洞植入的恶意样本。经过攻击目标定位和分析,确认受攻击的设备主要为政企类及家庭类网关设备,被利用的target_addr命令注入漏洞与[1]暴露出来的Netlink GPon RCE漏洞一致。
截至目前,已发现Moobot、Fbot、 Gafgyt等多个家族的恶意程序使用了该漏洞,说明该漏洞已经被黑产组织大规模利用。其中Gafgyt家族的网络可以实现target_addr命令注入漏洞蠕虫式扫描,但是没有账号登陆过程,因此它的攻击成功率并不高。
三、攻击范围及影响设备
目前被攻击的IP共有两千多个,主要位于浙江省 69.3% 、广西壮族自治区 8.0%、内蒙古自治区 6.9%、黑龙江省 6.3% 、安徽省 6.3%等,分布图如下所示:
图三 被攻击IP分布
确认受影响的设备及固件版本信息如下:
四、时间线
2月28号,首次发现某僵尸网络使用未知的0-day漏洞攻击境内设备;
3月16号,提取漏洞利用检测特征,进一步关联发现多个僵尸网络已集成该漏洞,并定位到具体设备型号和固件版本;
3月17号,Exploits-DB公布了Netlink GPON Router RCE PoC ;
3月19号,发现Gafgyt僵尸网络根据公开PoC使用target_addr命令注入漏洞利用,定位到更多设备型号和固件版本;
3月24号,CNCERT和360Netlab联合向有关部门报告;
五、建议
建议各相关企业检查并更新设备的固件系统,同时关注是否存在默认账号密码、流量异常等情况,并将相关的域名、IP和URL等加入黑名单。
IoC list
C2
nlocalhost.wordtheminer.com
164.132.92.173
51.254.23.237
attack.niggers.me
MD5
0a99f9b0472e2e4b9b20657cdde90bbb
0b00195d6162464cbb058024301fc4f3
0bd6066e0fab5d189dc32a7025c99b4d
006581bacd9109b1bf9ee226e4b53c69
05cbda6d4461900bfedf1d126a1f281a
07b3523f46aa5ed101c0a9f27a0464d9
089a20cf6b2380348f603acf70d8e998
0928b37ce3a9198bdc7c3f54baac396a
1f6874ecffc52d54a4675d7246e326ad
3c08f24b98fb6f9c6b1c9ff20e5a2d1f
4b4f95d7197f0b0ee84d5ae3941c62b4
7ad034dc8413956d480b8f348c890c33
URL
http://45.58.148.50/n
http://51.254.23.227/bins/n
http://164.132.92.168:6479/bins/mips
http://194.180.224.13/n
http://194.180.224.113/n
http://194.180.224.249/muck.sh
更多IOC信息请联系 罗冰(010-82992195)
参考文献:
https://www.exploit-db.com/exploits/48225
https://mp.weixin.qq.com/s/TFpvnBBAyUXjUyNMdKONcw
声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。