CVE-2017-17215华为路由器利用

介绍

新天安全观察到,今年圣诞节,已知威胁者在Pastebin上免费发布了华为漏洞CVE-2017-17215的工作代码。这个漏洞已经被两个不同的物联网僵尸网络攻击,即Satori和Brickerbot所武装。
华为HG532设备存在一个安全漏洞,CVE-2017-17215在检查站Satori零日攻击中被发现,并谨慎地向华为报告。概念验证码没有被公开,以防止攻击者滥用它。然而,随着威胁演员现在发布完整的代码,我们预计在更多的情况下,脚本小子和复制粘贴僵尸网络的主人会使用它。

利用Brickerbot和Satori的比较

有趣的是,Satori并不是这个漏洞利用已经实现的唯一的僵尸网络。在12月初,Brickerbot威胁者Janitor声称要退休,并发布了一个包含Brickerbot源代码片段的转储文件。在分析这些代码的同时,我们也发现了CVE-2017-17215的用法,这意味着这段代码一段时间以来一直处于黑客行列。在下面的图片中,我们可以看到来自泄漏Brickerbot代码的代码片段,其中我们在中看到命令注入,在SOAP请求的属性中看到“echo HUAWEIUPNP”。此命令注入是CVE-2017-17215漏洞的基础。

              一个Brickerbot僵尸网​​络的片段
  

让我们把这个与Satori僵尸网络的二进制数据进行比较(在下图中)。不仅我们在中看到了相同的攻击向量,即代码注入,而且还看到另一个指示符“echo HUAWEIUPNP”字符串,这意味着Satori和Brickerbot都从同一个源复制了漏洞源代码。

              Satori僵尸网络的片段
  

所有这些指标也被发现在pastebin泄露的工作漏洞代码中,如下所示。

              漏洞利用代码片段
  

为了避免滥用潜力,NewSky Security不会在这个博客上发布pastebin链接。

过去的SOAP问题

这不是物联网僵尸网络第一次使用与SOAP协议相关的问题。今年早些时候,我们使用两个分别在中进行代码注入的其他SOAP漏洞(CVE-2014-8361和TR-64)观察了Mirai的几个分支。在下面的图片中,我们看到了一个Mirai变体反汇编,这两个漏洞被一起使用,以增加成功攻击的机会。

              Mirai变体代码片段
  

当涉及到与SOAP协议有关的武器化错误时,即使Windows也没有被触及。我们已经看到与CVE-2017-8759相关的攻击,其中分析的根本原因是MS Word调用进一步使用WSDL的SOAP处理程序,并且解析中的错误导致代码注入成为可能,导致武器化的RTF文件。

结论

物联网攻击日益模块化。当物联网攻击变得可以免费使用的时候,威胁演员们很少花费很多时间来攻击他们的武器库,并将其作为其僵尸网络代码中的攻击媒介之一。在华为问题出现之前,NewSky Security已经观察到NetGear路由器利用漏洞(也就是NbotLoader),导致这个代码被整合到众所周知的僵尸网络Qbot中。

为了保护设备免受CVE-2017-17215的威胁,华为发布了一个安全通知,可以在这里找到


转载请注明出处:https://www.freearoot.com/index.php/cve-2017-17215%E5%8D%8E%E4%B8%BA%E8%B7%AF%E7%94%B1%E5%99%A8%E5%88%A9%E7%94%A8.html

文章来源:https://blog.newskysecurity.com/huawei-router-exploit-involved-in-satori-and-brickerbot-given-away-for-free-on-christmas-by-ac52fe5e4516