利用漏洞攻擊Edimax WiFi橋接器,綠盟威脅情報中心支援相關檢測

綠盟科技發表於2020-04-27

2020年4月14日,Exploit DB公佈了一個針對Edimax WiFi橋接器的遠端執行漏洞的利用(EDB-ID:48318),綠盟科技格物實驗室結合綠盟威脅情報中心(NTI)對相應裝置的暴露情況進行驗證,發現2020年年初至今,Edimax WiFi橋接器暴露數量達到6000臺以上。


綠盟威脅情報中心(NTI)已支援對該事件的線上檢測(https://nti.nsfocus.com),同時使用綠盟威脅情報賦能的產品也均已支援對該事件的精確檢測。


【事件脆弱性分析】綠盟科技格物實驗室發現除了2020年4月14日由Exploit DB公佈的RCE之外,Exploit DB中還存在8個Edimax的漏洞利用。


【事件網際網路暴露情況】綠盟科技格物實驗室發現2020年年初至今,網際網路中暴露的無需認證的Edimax WiFi橋接器共665個,暴露但需要認證的Edimax WiFi橋接器共5580個。


【事件威脅分析】綠盟科技格物實驗室發現,在對漏洞利用增加互動的當天(2020年4月18日),便捕獲到了利用匿名DNS Log平臺對該漏洞的探測行為。次日(2020年4月19日)便捕獲到利用該漏洞投遞樣本的行為。整個事件的流程為:

【4月14日】漏洞利用公佈。

【4月18日】緊急在威脅捕獲系統中增加了針對該漏洞的互動。

【4月18日】綠盟科技格物實驗室捕獲到針對該漏洞的探測行為,值得注意的是,此次捕獲到的探測行為不同於往常,其嘗試請求dnslog.cn,透過查詢dns記錄的方式確認裝置是否具備脆弱性。

【4月19日】綠盟科技格物實驗室捕獲到利用該漏洞投遞樣本的行為。

【4月21日】利用該漏洞投遞樣本的行為出現了爆發的現象。


該事件在NTI的查詢詳情如下:


利用漏洞攻擊Edimax WiFi橋接器,綠盟威脅情報中心支援相關檢測


涉及到該事件的C&C伺服器的詳情如下:


利用漏洞攻擊Edimax WiFi橋接器,綠盟威脅情報中心支援相關檢測


此外,透過綠盟威脅情報中心威脅知識圖譜發現,針對Edimax WiFi橋接器漏洞投遞的部分樣本為Gafgyt家族的變種(如下圖所示)。說明部分蠕蟲家族已經更新其漏洞庫,對這些裝置發動攻擊。


利用漏洞攻擊Edimax WiFi橋接器,綠盟威脅情報中心支援相關檢測利用漏洞攻擊Edimax WiFi橋接器,綠盟威脅情報中心支援相關檢測IOC持續更新中,完整IOC列表可在綠盟威脅情報中心(https://nti.nsfocus.com)獲取。


關於綠盟威脅情報中心


綠盟威脅情報中心(NSFOCUS Threat Intelligence center, NTI)依託公司專業的安全團隊和強大的安全研究能力,對全球網路安全威脅和態勢進行持續觀察和分析,以威脅情報的生產、運營、應用等能力及關鍵技術作為核心研究內容,推出了綠盟威脅情報平臺以及一系列整合威脅情報的新一代安全產品,為使用者提供可操作的情報資料、專業的情報服務和高效的威脅防護能力,幫助使用者更好地瞭解和應對各類網路威脅。


關於綠盟科技格物實驗室

格物實驗室專注於工業網際網路、物聯網和車聯網三大業務場景的安全研究。 致力於以場景為導向,智慧裝置為中心的漏洞挖掘、研究與安全分析,關注物聯網資產、漏洞、威脅分析。目前已釋出多篇研究報告,包括《物聯網安全白皮書》、《物聯網安全年報2017》、《物聯網安全年報2018》、《物聯網安全年報2019》、《國內物聯網資產的暴露情況分析》、《智慧裝置安全分析手冊》等。與產品團隊聯合推出綠盟物聯網安全風控平臺,定位運營商行業物聯網路卡的風險管控;推出韌體安全檢測平臺,以便快速發現裝置中可能存在的漏洞,以避免因弱口令、溢位等漏洞引起裝置控制許可權的洩露。


關於綠盟科技伏影實驗室

綠盟科技伏影實驗室專注於安全威脅與監測技術研究。 研究目標包括殭屍網路威脅,DDoS對抗,WEB對抗,流行服務系統脆弱利用威脅、身份認證威脅,數字資產威脅,黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。


相關文章