在CVE-2020-9054的概念驗證(Proof of concept,PoC)於上個月被公開發布之後,此漏洞立馬就遭到了網絡黑客的濫用,目的是使用新的Mirai變種——Mukashi感染未及時安裝補丁的Zyxel網絡連接存儲(NAS)設備。
根據網絡安全公司Palo Alto Networks的說法,運行固件版本5.21及更早版本的多個Zyxel NAS產品均受這個預身份驗證命令注入漏洞的影響。換句話來說,這些Zyxel NAS產品都有可能遭到Mukashi的感染,進而淪為“肉雞”。
圖1.受CVE-2020-9054影響的Zyxel NAS產品型號及固件版本
漏洞分析
CVE-2020-9054是由於可執行文件weblogin.cgi在身份驗證期間未正確過濾username參數造成的,導致攻擊者可以在傳遞給此文件的用戶名中包含某些特殊字符來觸發漏洞,進而以webserver的權限實現命令注入。
濫用活動
Palo Alto Networks監測到的首個CVE-2020-9054漏洞實例發生在本月12日,攻擊者試圖將將一個shell腳本下載到目標NAS設備的tmp目錄。
圖2.首個CVE-2020-9054漏洞實例
腳本執行後,將下載並啟動Mukashi。
圖3.用於下載並啟動Mukashi的shell腳本
Mirai新變種——Mukashi
如上所述,Mukashi是Mirai的一個新變種。
在啟動後,它將執行如下操作:
- 掃描隨機主機的TCP端口23;
- 使用不同的默認憑據組合執行強制登錄;
- 向C2服務器報告有效的憑證組合。
圖4.掃描隨機主機的TCP端口23
與其他Mirai變種一樣,Mukashi也能夠接收C2命令併發起DDoS攻擊。
值得一提的是,在執行上述操作之前,Mukashi還會綁定到TCP端口23448,以確保在受感染的系統上僅運行單個實例。
當Mukashi執行暴力破解時,它會使用一些典型的默認密碼,如t0talc0ntr0l4!和 taZz@23495859。
圖5.暴力破解
一旦登錄成功,Mukashi就會將有效的憑證組合到報告給TCP端口34834上的C2服務器45[.]84[.]196[.]75,消息格式如下:
:23:
圖6.向C2服務器報告有效的憑證組合
分析顯示,Attack_parsing()函數負責處理Mukashi從C2服務器接收到的C2命令字符串。除命令的類型和目標地址外,C2命令字符串還包括其他一些相關信息,如SYN flag、ACK flag、URG flag、SH flag、Rst flag、時間字段以及目標端口值等。
具體來講,Mukashi支持如下C2命令。
圖7. Mukashi支持的C2命令
結語
如果你就是上述受影響Zyxel NAS產品的用戶,那麼我們強烈建議你及時更新固件,並使用相對複雜的登錄密碼,以防止遭到Mukashi的侵害。
閱讀更多 黑客視界 的文章
