近日,我们监测到Mirai 僵尸网络尝试利用CVE-2020-9020漏洞在公网进行攻击的活动,该漏洞是Iteris的Vantage Velocity版本2.3.1、2.4.2和3.0中的远程命令执行漏洞。作为行驶数据测量系统,Vantage Velocity可捕获大量车辆的行驶数据。如果设备存在漏洞,它将受到攻击者的控制,攻击者随后可以泄漏敏感数据或进行进一步的攻击,例如分布式拒绝服务(DDoS)攻击。由于该漏洞的攻击复杂度较低,具有严重的安全影响,严重等级CVSS 3.1评分为9.8。
存在漏洞的设备缺少对/cgi-bin/timeconfig.py的htmlNtpServer参数的检查,从而使攻击者可以通过精心制作的HTTP请求注入命令,并在受害设备上执行命令。
如图1所示,该漏洞利用系统命令wget尝试从服务器198 [。] 23 [。] 238 [。] 203下载文件arm7,然后更改下载文件的访问权限以确保可以以当前用户权限执行。
![Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化]( "Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化")
根据VirusTotal的情报,服务器198 [。] 23 [。] 238 [。] 203最早在2021年2月17日被安全社区发现(提供恶意Shell脚本)。在撰写本文时,服务器仍可访问,它基于Apache2 HTTP服务器在端口80上提供HTTP服务,该服务提供恶意软件下载服务。它还打开了端口5684,该端口可用作C2。
根据我们的调查,在服务器上发现了9个具有相似功能但平台兼容性不同的木马文件。他们能够跨多种主流架构运行和攻击设备。因此,当攻击者更改针对其他目标系统的攻击时,可以很容易地再次利用这些恶意木马文件。
根据我们对行为和模式的深入研究,我们认为托管在服务器198 [。] 23 [。] 238 [。] 203上的恶意软件样本极有可能是Mirai僵尸网络Satori的变体。
执行后,它将消息“ hello friend :)”打印到控制台。然后,产生四个子进程并将其与主进程分离。
观察到该恶意软件扫描了随机主机的23端口(如图2所示),并在端口23打开时尝试使用其密码字典登录。
![Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化]( "Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化")
![Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化]( "Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化")
使用XOR算法对密码进行加密,单字节密钥为0x07,如图3所示。
在受害者和198 [。] 23 [。] 238 [。] 203:5684之间还观察到SSL上的加密C2通信,如图4所示。
![Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化]( "Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化")
该恶意软件还包含多个操作系统命令,如图5所示。这些命令用于从远程C2服务器下载并执行恶意有效负载,以在新的受害设备上部署reboot文件。
![Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化]( "Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化")
51[.]81[.]24[.]157198[.]23[.]238[.]203
参考及来源:
https://unit42.paloaltonetworks.com/satori-mirai-botnet-variant-targeting-vantage-velocity-field-unit-rce-vulnerability/
![Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化]( "Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化")
本文始发于微信公众号(网络安全应急技术国家工程实验室):Mirai 僵尸网络将Vantage Velocity命令注入漏洞武器化
评论