黑客利用影响数百万Arcadyan路由器的新身份验证绕过漏洞

身份不明的威胁行为人正在积极利用一个关键的身份验证绕过漏洞劫持家庭路由器，作为将其加入用于实施DDoS攻击的Mirai变种僵尸网络的努力的一部分，该僵尸网络仅在其公开披露两天后就被使用。

该漏洞被追踪为CVE-2021-20090（CVSS分数：9.9），它涉及带有Arcadyan固件的路由器的web接口中的路径穿越漏洞，该漏洞可能允许未经验证的远程攻击者绕过验证。

Tenable于8月3日披露，该问题据信已存在至少10年，影响了17家不同供应商的至少20款车型，包括华硕、Beeline、英国电信、布法罗、德国电信、Orange、Telstra、Telus、Verizon和沃达丰。

成功利用该漏洞可使攻击者绕过身份验证障碍，并可能获得对敏感信息的访问，包括有效的请求令牌，这些令牌可用于请求更改路由器设置。

Juniper Threat Labs上周表示，从8月5日开始，“发现了一些攻击模式，试图利用位于中国湖北省武汉市的IP地址在野外利用该漏洞进行攻击”，攻击者利用该模式在受影响的路由器上部署Mirai变体，与今年3月早些时候帕洛阿尔托网络公司42号机组披露的类似技术相呼应。

研究人员说：“这种相似性可能表明，这起新攻击背后是同一个威胁参与者，他们试图用另一个新发现的漏洞升级渗透武库。”。

除了CVE-2021和#8211；据称，该威胁行为体还利用其他一些漏洞实施了攻击，例如-

• CVE-2020-29557（D-Link DIR-825 R1设备中的预认证远程代码执行）
• CVE-2021-1497和CVE-2021-1498（Cisco HyperFlex HX中的命令注入漏洞）
• CVE-2021-31755（Tenda AC11中的堆栈缓冲区溢出漏洞导致任意代码执行）
• CVE-2021-22502（Micro Focus Operation Bridge Reporter中的远程代码执行缺陷）
• CVE-2021-22506（Micro Focus Access Manager中的信息泄漏漏洞）

42单元的报告之前发现了多达六个已知和三个未知的安全漏洞，这些漏洞在攻击中被利用，包括针对SonicWall SSL VPN、D-Link DNS-320防火墙、Netis WF2419无线路由器和Netgear ProSAFE Plus交换机的漏洞。

为了避免任何潜在的危害，建议用户将路由器固件更新至最新版本。

研究人员说：“很明显，威胁行为人会密切关注所有已披露的漏洞。每当发布一个利用漏洞的PoC时，他们通常只需要很少的时间就可以将其集成到自己的平台并发起攻击。”。