資安廠商 Tenable 的研究人員於上週揭露了一個影響多款路由器及 IoT 設備的身份驗證繞過漏洞——CVE-2021-20090。受影響的廠商和 ISP 包括 （ADP、Arcadyan、ASMAX、ASUS、Beeline、British Telecom、Buffalo、Deutsche Telekom、HughesNet、KPN、O2、Orange、Skinny、SparkNZ、Telecom [Argentina]、TelMex、Telstra、Telus）的設備、Verizon 和 Vodafone，這些廠牌都是用來自 Arcadyan 的韌體。目前，全球數百萬台設備皆處在高風險狀態。此漏洞僅僅揭露三天就已被廣泛利用。Tenable 在概念驗證 (PoC) 中證明，此漏洞可以修改設備的配置以在易受攻擊的路由器上啟用 Telnet 並獲得對設備的根級 shell 訪問權限。

 

漏洞被用於傳播 Mirai 變體
漏洞僅僅被揭露 3 天，Juniper Networks 的研究人員便發現了對此漏洞的積極利用。研究人員表示，他們發現這些攻擊模式模來自中國湖北省武漢市的 IP，並且似乎試圖在受影響的路由器上部署 Mirai 變體。在 Tenable 的 PoC 附近，攻擊者正在修改被攻擊設備的配置，以啟用 Telnet 使用 “ARC_SYS_TelnetdEnable=1” 來控制，並從命令和控制 (C2) 服務器下載 Mirai 變體並執行它。

Mirai 是一個長期運行的殭屍網絡，用於發起分佈式阻斷服務 (DDoS) 攻擊。於 2016年出現，當時它使 Dyn 網絡託管公司的服務器不堪重負，導致了 1,200 多個網站關閉，包括 Netflix 和 Twitter。

據 Juniper Networks 稱，當前攻擊集中的一些腳本與之前 2 月和 3 月觀察到的的惡意活動十分相似。這種相似性表明，這次攻擊背後有可能同一組攻擊者，並試圖用另一個新揭露的漏洞升級他們的滲透武器庫。鑑於大多數人甚至可能沒有意識到安全風險，也不會很快升級他們的設備，這種成本低且易於實施的攻擊策略有可能非常成功。

除了路由器漏洞之外，Juniper Networks 研究人員還觀察到以下幾個被積極利用的漏洞，用於獲取對目標設備的初始訪問權限：

CVE-2020-29557（DLink 路由器）
CVE-2021-1497 、 CVE-2021-1498（思科 HyperFlex）
CVE-2021-31755（騰達 AC11）
CVE-2021-22502 ( MicroFocus OBR )
CVE-2021-22506 ( MicroFocus AM )

從上述情況看來，攻擊者會密切關注所有已揭露的漏洞，每當漏洞 PoC 發佈時，他們通常只需很少的時間就可以將其集成到他們的平台中並發起攻擊。為避免遭到攻擊，用戶應更新路由器上的韌體。但是，對一般的 IoT 或路由器家庭用戶來說，這種情況要糟糕得多，因為大多數用戶並不精通相關技術，尤其是那些不了解潛在漏洞和應用程式更新重要性的用戶，Juniper Networks 表示，解決這個問題的唯一可靠方法，便是要求供應商提供零時差漏洞的自動更新。

參考資料：
https://threatpost.com/auth-bypass-bug-routers-exploited/168491/