黑客在企业Draytek大乐透走势图500期图设备中定位零天缺陷

来自Qihoo 360的专家’S NetLab最近发现了针对Draytek企业级大乐透走势图500期图设备的两个零点广告。

自2019年12月以来,Qihoo 360的研究人员观察了两种不同的攻击组,这些攻击群体采用了两个零天的漏洞,以挖掘Draytek Enterprise路由器来窃听FTP和公司大乐透走势图500期图内的电子邮件流量。

虽然NetLab360在线找到了大约〜100,000个设备,但独立的研究人员推测数量可能更高。

“从2019年12月4日起,360netLab威胁检测系统使用Draytek活力企业路由器和交换设备的两个0日漏洞观察了两种不同的攻击组,以进行一系列攻击,包括窃听设备的大乐透走势图500期图流量,在高端口上运行SSH服务,创建系统后门帐户,甚至创建特定的恶意Web会话后台。” Qihoo 360发布的报告。

作为CVE-2020-8515跟踪的两个关键远程命令注入漏洞会影响Draytek Privor大乐透走势图500期图设备,包括企业交换机,路由器,负载平衡器和VPN网关。

2020年2月10日,台湾制造商Draytek发布了一个 安全公告 通过释放固件程序1.5.1来解决漏洞。

Draytek安全公告

“1月30日,我们意识到与WebUI相关的Vigor2960 / 3900 / 300B可能的剥削。它在测试期间识别并向我们报告。在2月6日,我们发布了更新的固件来解决此问题。” 读取安全公告.

“您应该尽快升级到1.5.1固件或更高版本。如果您的路由器上启用了远程访问,请禁用它’T需要它,如果可能,请使用访问控制列表。如果您还没有更新固件,请禁用远程访问(admin)和ssl vpn。 ACL不适用于SSL VPN连接(端口443),因此您还应暂时禁用SSL VPN,直到更新固件。

该问题仅影响Privor 3900/2960 / 300B,并不知道不会影响任何其他DRAYTEK产品。”

攻击仍在继续,黑客正在试图妥协公开暴露的Draytek企业交换机,Privor 2960,3900,300B的设备’t yet been patched.

两个零天漏洞命令注入点是KEYPATH和RTICK,它位于/www/cgi-bin/mainfunction.cgi中,并且相应的Web服务器程序是/ usr / sbin / lightpd。

根据专家们,虽然第一组黑客被剥夺了对大乐透走势图500期图流量的影响。

第二组黑客采用RTICK命令注射漏洞:

  • 在文件/var/session.json中创建2组Web Session返回OT000或永不过期。
  • 在TCP / 22335和TCP / 32459上创建SSH后门;
  • 添加系统后门帐户 武武汉汉:曹梅勤。

专家指出,即使在重新安装固件更新后,它也赢了’t删除攻击者创建的后门帐户。

“我们建议Draytek Privor用户及时检查并更新他们的Firmwares,并检查其系统上是否存在TCPDump进程,SSH后门帐户,Web会话后台等。”继续专家。

“我们建议在适用的大乐透走势图500期图上监控并阻止以下IOC。”

专家刊登了一份妥协指标列表(IOC),可以检查以确定设备是否受到损害。

以下固件版本受到影响:

  • vigor2960< v1.5.1
  • vigor300b.< v1.5.1
  • vigor3900.< v1.5.1
  • vigorswitch20p2121<= v2.3.2
  • vigorswitch20g1280<= v2.3.2
  • Vigorswitch20p1280<= v2.3.2
  • vigorswitch20g2280<= v2.3.2
  • Vigorswitch20p2280<= v2.3.2

已经描述了有关漏洞的技术细节 这里由一个独立的研究员。

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请