CNCERT：关于网关类设备0-day漏洞攻击的报告

本报告由CNCERT物联网安全研究团队与360网络安全研究院（360 Netlab）联合发布

一、概述

2020年3月17日，国外知名漏洞平台Exploit Database网站公布了一个针对Netlink GPON路由器设备的漏洞POC[1]。该漏洞是远程命令执行类的漏洞，黑客可以利用该漏洞在Netlink GPON路由器上进行恶意样本植入，进而控制设备发起DDos攻击、窃取敏感信息等恶意行为。

经与360网络安全研究院共同研究与分析，我们确定该漏洞与之前发现的一起物联网攻击威胁事件有关。2020年2月底我们发现有黑客组织利用0-day漏洞入侵并控制境内的设备，溯源分析发现被攻击设备是国内某厂商的网关类设备，设备类型与Netlink属于同类型设备，在野利用的0-day漏洞与[1]中发布的漏洞也一致。此外我们进一步还发现共计6个厂商9款型号的设备中存在同样的漏洞。因此，我们猜测厂商间的设备存在OEM情况，目前尚不清楚漏洞源头。

另外根据最新报告，发现境外APT组织利用深信服VPN设备的漏洞对我国境内多家重要机构持续发起攻击的行为[2]。随着越来越多的攻击事件被披露，说明网络空间中的各类物联网设备，尤其是路由器网关等关键设备，已成为各类黑客组织和APT组织的重要攻击目标。

二、漏洞分析

受影响的的网关类设备将Web管理系统暴露在互联网侧（WAN口），而它们本应该只向内网（LAN口）开放，因此攻击者可以远程攻击受影响的相关设备。

我们发现某品牌的网关设备GT3200-4F2P是此次0-day漏洞攻击的其中一个目标，下文主要以该设备为案例进行详细分析。

1默认密码漏洞

我们发现在配置文件：

/etc/product/config_epon.xml或/etc/product/config_gpon.xml中存在默认账号密码e8c/e8c。它们可被用于登陆设备Web管理系统。<Value Name="E8BDUSER_NAME" Value="e8c"/><Value Name="E8BDUSER_PASSWORD" Value="e8c"/>

此外，我们还发现该设备存在后门账号功能。

1.当配置文件PROVINCE_BACKDOOR_ENABLE为1时，允许后门账户e8ehome登陆，登陆密码通过PROVINCE_BACKDOOR_PWDTYPE选择；

2.当配置文件PROVINCE_BACKDOOR_PWDTYPE为1时，登陆密码为设备的MAC地址；

3.当配置文件PROVINCE_BACKDOOR_PWDTYPE为0时，登陆密码为e8ehome。

4.我们观察到攻击者使用了以下登陆账号和密码进行多次尝试：

admin/adminadminisp/adminispe8c/e8cuser/user

2target_addr命令注入漏洞

漏洞类型：远程命令执行（需要登陆）

漏洞原因：在设备/bin/boaWeb服务端程序内存在2个函数formPing()和formTracert()。

它们在处理/boaform/admin/formPing和/boaform/admin/formTracertPOST请求时，未检查target_addr参数就调用系统ping和traceroute命令，从而导致命令注入漏洞。

图一 ping命令注入。

图二 traceroute命令注入

我们在2020年2月底首次注意到了该0-day漏洞的在野利用行为，并捕获到了利用该漏洞植入的恶意样本。经过攻击目标定位和分析，确认受攻击的设备主要为政企类及家庭类网关设备，被利用的target_addr命令注入漏洞与[1]暴露出来的Netlink GPon RCE漏洞一致。

截至目前，已发现Moobot、Fbot、 Gafgyt等多个家族的恶意程序使用了该漏洞，说明该漏洞已经被黑产组织大规模利用。其中Gafgyt家族的网络可以实现target_addr命令注入漏洞蠕虫式扫描，但是没有账号登陆过程，因此它的攻击成功率并不高。

三、攻击范围及影响设备

目前被攻击的IP共有两千多个，主要位于浙江省 69.3% 、广西壮族自治区 8.0%、内蒙古自治区 6.9%、黑龙江省 6.3% 、安徽省 6.3%等，分布图如下所示：

图三 被攻击IP分布

确认受影响的设备及固件版本信息如下：

四、时间线

2月28号，首次发现某僵尸网络使用未知的0-day漏洞攻击境内设备；

3月16号，提取漏洞利用检测特征，进一步关联发现多个僵尸网络已集成该漏洞，并定位到具体设备型号和固件版本；

3月17号，Exploits-DB公布了Netlink GPON Router RCE PoC ；

3月19号，发现Gafgyt僵尸网络根据公开PoC使用target_addr命令注入漏洞利用，定位到更多设备型号和固件版本；

3月24号，CNCERT和360Netlab联合向有关部门报告；

五、建议

建议各相关企业检查并更新设备的固件系统，同时关注是否存在默认账号密码、流量异常等情况，并将相关的域名、IP和URL等加入黑名单。

IoC list

C2

nlocalhost.wordtheminer.com

164.132.92.173

51.254.23.237

attack.niggers.me

MD5

0a99f9b0472e2e4b9b20657cdde90bbb

0b00195d6162464cbb058024301fc4f3

0bd6066e0fab5d189dc32a7025c99b4d

006581bacd9109b1bf9ee226e4b53c69

05cbda6d4461900bfedf1d126a1f281a

07b3523f46aa5ed101c0a9f27a0464d9

089a20cf6b2380348f603acf70d8e998

0928b37ce3a9198bdc7c3f54baac396a

1f6874ecffc52d54a4675d7246e326ad

3c08f24b98fb6f9c6b1c9ff20e5a2d1f

4b4f95d7197f0b0ee84d5ae3941c62b4

7ad034dc8413956d480b8f348c890c33

URL

http://45.58.148.50/n

http://51.254.23.227/bins/n

http://164.132.92.168:6479/bins/mips

http://194.180.224.13/n

http://194.180.224.113/n

http://194.180.224.249/muck.sh

更多IOC信息请联系 罗冰（010-82992195）

参考文献：

https://www.exploit-db.com/exploits/48225

https://mp.weixin.qq.com/s/TFpvnBBAyUXjUyNMdKONcw

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。