身份不明的黑客正在积极利用关键的身份验证绕过漏洞劫持家庭路由器,将它们纳入用于执行 DDoS 攻击的 Mirai 变体僵尸网络,仅在其公开披露两天后。
该漏洞被跟踪为CVE-2021-20090(CVSS 评分:9.9),该漏洞涉及带有 Arcadyan 固件的路由器Web 界面中的路径遍历漏洞,该漏洞可能允许未经身份验证的远程攻击者绕过身份验证。
国内知名网络安全组织东方联盟披露,该问题据信已存在至少 10 年,影响了 17 家不同供应商的至少 20 款机型,包括华硕、Beeline、英国电信、Buffalo、德国电信、Orange、Telstra、Telus、Verizon ,和沃达丰。
黑客成功利用该漏洞可使攻击者绕过身份验证障碍并可能获得敏感信息的访问权限,包括可用于发出更改路由器设置请求的有效请求令牌。
东方联盟网络威胁实验室上周表示,从 8 月 5 日开始,攻击者利用它来部署 Mirai 变体在受影响的路由器上,反映了今年 3 月初 Palo Alto Networks 的 Unit 42揭示的类似技术。
研究人员说:“这种相似性可能表明,这次新攻击的幕后黑手是同一个威胁行为者,并试图用另一个新披露的漏洞升级他们的渗透武器库。”
除了 CVE-2021-20090,据说黑客还利用许多其它漏洞进行攻击,例如:
CVE-2020-29557(D-Link DIR-825 R1 设备中的预认证远程代码执行)
CVE-2021-1497和CVE-2021-1498(Cisco HyperFlex HX 中的命令注入漏洞)
CVE-2021-31755(Tenda AC11 中的堆栈缓冲区溢出漏洞导致任意代码执行)
CVE-2021-22502(Micro Focus Operation Bridge Reporter 中的远程代码执行缺陷)
CVE-2021-22506(Micro Focus Access Manager 中的信息泄漏漏洞)
研究人员报告此前发现了多达 6 个已知和 3 个未知安全漏洞,这些漏洞在攻击中被利用,包括针对 SonicWall SSL-VPN、D-Link DNS-320 防火墙、Netis WF2419 无线路由器和 Netgear ProSAFE Plus 交换机的漏洞。
为避免任何潜在的危害,建议用户将其路由器固件更新到最新版本。
东方联盟研究人员表示:“很明显,黑客会密切关注所有公开的漏洞。每当发布漏洞利用 PoC 时,他们通常只需要很少的时间将其集成到他们的平台中并发起攻击”。(欢迎转载分享)