一、 概述

　　CNCERT物聯網威脅數據平臺近期捕獲到一種新的在野漏洞利用，開源情報顯示該漏洞屬于路由器設備漏洞，于2021年8月3號由Tenable 公司的安全研究員首次披露【1】。該漏洞已存在12年之久，Tenable 公司警告稱可能影響全球數百萬臺的路由器設備。我們的物聯網威脅數據平臺于2021年8月3日第一時間捕獲到該漏洞攻擊行為，到目前為止已監測發現了20余萬次該攻擊行為。

　　二、漏洞信息

　　1、在野PoC

　　該漏洞是路徑繞過漏洞CVE-2021-20090和配置文件注入漏洞CVE-2021-20091，其聯合起來使用，攻擊者可獲得telnet shell并執行任意系統命令。在野PoC如下圖所示。

　　同時我們也在利用該漏洞傳播的Mirai變種Darknet中發現了同樣的攻擊手法，對Darknet樣本進行逆向分析發現的攻擊payload如下圖所示，黑客組織們更新漏洞工具的速度可見一斑。

　　2、受影響設備

　　最初，安全研究員Evan Grant在研究Buffalo公司的路由器時發現此漏洞，但很快，他發現其實根源在中國臺灣Arcadyan公司生產的固件里。幾乎每臺 Arcadyan路由器/調制解調器，包括最早在2008年出售的設備，都存在此漏洞。因為軟件供應鏈的關系，源于Arcadyan固件的這一漏洞，至少進入17家不同廠商的至少20個機型中。估計數百萬臺設備受影響，它們分布在11個國家，包括澳大利亞、德國、日本、墨西哥、新西蘭、美國等。影響范圍如下表所示：

　　表1：受影響設備（來自于參考文獻）

　　三、IoC信息

　　212.192.241.72

　　212.192.245.72

　　212.192.245.72

　　ccfefe9b5886875557f9695b996f5483

　　9344542748024ed06d98116e3b5f86d6

　　f0b0acf4f9bb09f22c2f54ca3c214bef

　　fb753a2ab5e2ca61424b28f7ff3d1344

　　5e450f4f32d5054a784079da0e91aed3

　　ee7249ee77e59cad5ec52cfb8c2e27f1

　　df4955166992ec18c270c79ffe1471e2

　　55f6eb2e1d81837383255f6ffa3d20b5

　　ee40c8405d4247897e0ae9631fbf1829

　　b1fefac85d00fa80a402d7fe8166dade

　　d82231d83d10fa7d213d727739ad75bc