僵尸网络瞄准SonicWall SSL VPN,揭开隐匿在物联网设备背后的真面目
一. 事件简介
近日,绿盟科技伏影实验室威胁捕获系统捕获到一个利用SonicWall “Virtual Office” SSL VPN RCE进行传播的Mirai dark系列变种,该系列多以dark.[platform]命名恶意文件。经过分析,除使用上述漏洞传播以外,该变种还使用了1个0day、6个1day以及2个Nday漏洞,影响SSL VPN、路由器、NAS、Web网关等多种设备。
其中,Netis WF2419的Nday漏洞(CVE-2019-19356)被NVD公布已经时隔一年,虽然漏洞及利用已经公布,但厂商依然没有修补,说明除0day漏洞外,僵尸网络同样关注暴露在网络中的具有脆弱性的老旧物联网设备。
最后,从F5 BIG-IP漏洞(CVE-2021-22991)的EXP公布(2021年3月10日)到我们首次捕获到利用该漏洞传播恶意样本(2021年3月11日)仅时隔1天;从SonicWall “Virtual Office” SSL VPN RCE漏洞利用公布(2021年1月24日)到我们首次捕获到漏洞探测行为(2021年1月27日)仅间隔3天。说明僵尸网络目前非常关注物联网相关的1day漏洞且效率极高,研究团队与僵尸网络的对抗已经上升到了对漏洞跟进效率的对抗。
2020年多个研究团队发现APT组织如Dark hotel,“Fox Kitten”等利用VPN完成攻击活动,VPN等安全产品的脆弱性引起了各方关注。而SonicWall “Virtual Office” SSL VPN和F5 BIG-IP均属于流量、内容控制产品,安全产品反而出现RCE漏洞被利用,后果难以想象。由于僵尸网络针对F5 BIG-IP漏洞(CVE-2021-22991)的攻击行为尚在演变,本节将就SonicWall “Virtual Office” SSL VPN RCE的威胁分析做相关说明。
SonicWall是一家位于硅谷的私营公司,主要销售内容控制和网络安全相关产品,其旗下的“Virtual Office”产品宣称可以通过SSL VPN技术为远程用户提供安全的互联网接入。
2021年1月24日,Darren Martyn在个人博客上公开了SonicWall “Virtual Office” SSL VPN系列产品的一个远程代码执行漏洞及EXP。1月27日起,绿盟威胁捕获系统捕获到了针对该漏洞的相关探测、攻击活动。1月29日,漏洞利用平台ExploitDB收录了该漏洞利用,说明即使专注漏洞利用的ExploiDB依然存在EXP收录滞后的问题。
截至成稿,我们发现攻击者已经更新了漏洞探测的手法,且正逐渐增加探测活动的投入,使用相应产品的用户请及时升级固件,相关团队应提前做好预防措施。
我们对漏洞探测及利用次数进行了统计,如图 2.1 所示。漏洞的探测行为首次出现在2021年2月17日,在Darren Martyn公开漏洞利用的前半个月相对活跃且出现了两轮高峰。2021年2月18日起出现投递样本行为利用次数较少。2021年3月9日起更换漏洞探测方式后,探测活动再次呈现上升趋势。
对攻击源数量的统计如图 2.2 所示。除2021年1月27日攻击源IP较多以外,其余时间段攻击源数量均小于5个,说明攻击者大部分时间段并未发动僵尸网络进行漏洞探测和利用,这与攻击者漏洞利用手法迅速变化的表现一致。
图 2.2 攻击源IP数量变化趋势
Darren Martyn的个人博客公开了SonicWall “Virtual Office”的设备指纹,通过Shodan检索公开的两个指纹,全网共计暴露约7000台以上SonicWall “Virtual Office”设备及服务,暴露情况最严重的地区为美国。
图 2.3 通过SonicWall “Virtual Office”指纹一检索的暴露情况
图 2.4 通过SonicWall “Virtual Office”指纹二检索的暴露情况
经过分析,该样本直接在原版Mirai源码上构建,特点是增加了一个0day漏洞和多个1day漏洞。其下载器与常见下载器不同,分为三部分:
第一部分,下载器删除目标主机的/tmp、/home、/var/run、/etc/cron.d、/etc/cron.daily/、/etc/init.d目录,即清除临时目录、用户主目录、自启动任务以及定时任务。
第二部分,下载器从服务器拉取x86、mips、mpsl、arm4、arm5、arm6、arm7、ppc、m68k、sh4等架构的样本,重命名为nginx后执行相应样本,加大目标主机感染后相关人员排查的难度。
第三部分,下载器将程序本身写入/etc/cron.d/目录,定时执行下载器自身。最后,清空目标主机所有的防火墙设置,并关闭22、23、80、443、8080、9000、8089、7070、8081、9090、161、5555、9600、21412端口。让目标主机彻底成为僵尸主机,运维人员和其他僵尸网络将无法通过上述端口,远程访问设备。
通过对蜜罐日志以及样本的交叉分析,我们发现与其他Mirai变种相比,dark系列变种利用的样本涵盖了0day、1day以及Nday漏洞,其中存在较新的1day漏洞,也存在老旧的RCE漏洞,本节将就重点漏洞利用做相关说明。
Crestron是美国的一家私营跨国公司,位于新泽西州罗克利,是从事视听自动化和集成设备的制造商和分销商。该公司设计、制造和分发用于控制商业视听环境(如会议场所,会议室,教室和礼堂)中的技术的设备;Crestron设备还用于高端住宅视听设备。
捕获到的dark系列僵尸网络利用了该公司AM-100 AirMedia®演示网关的0day漏洞传播样本。该漏洞通过AM-100的CGI服务触发,通过在POST请求的body中拼接命令即可完成命令注入。
3.1.2 SonicWall “Virtual Office” SSL VPN RCE
SonicWall “Virtual Office” SSL VPN RCE(漏洞详情参见EDB-ID:49499)影响版本小于SMA 8.0.0.4的SonicWall相关设备,完整的请求如图 3.1 所示:
图 3.1 SonicWall “Virtual Office” SSL VPN RCE完整请求
触发该漏洞的PATH_INFO为:/cgi-bin/jarrewrite.sh,命令执行的负载位于User-Agent,构建shellshock触发命令执行。
F5公司是一家专门从事应用程序服务和应用程序交付网络(ADN)的美国公司。其产品最初基于负载平衡产品,后来已扩展到包括加速、应用安全性和DDoS防御。
CVE-2021-22991影响的设备包括:BIG-IP APM、BIG-IP ASM、BIG-IP PEM、Secure Web Gateway (SWG)、SSL Orchestrator、BIG-IP (all modules)。该漏洞通过构建类似HTTP的请求触发命令执行,完整payload如图 3.2 所示:
表 3.1 Dark系列变种漏洞汇总
序号 | 漏洞编号 | 受影响设备或软件 |
1 | Crestron AM-100 0day | Crestron AM-100 |
2 | EDB-ID:49499 | SonicWall “Virtual Office” SSL VPN(版本< SMA 8.0.0.4) |
3 | CVE-2021-22991 | BIG-IP APM、BIG-IP ASM、BIG-IP PEM、Secure Web Gateway (SWG)、SSL Orchestrator、BIG-IP (all modules)。 |
4 | D-LInk shareCenter RCE | D-LInk DNS320 |
5 | D-Link DIR-825 DoS | D-Link DIR-825、DIR-825_ACF_F1、DIR-825_AC_E、DIR-825_AC_E1A、DIR-825_A_D1A、DIR-825_GF,版本小于3.0.1 |
6 | Micro Focus Operations Bridge Reporter多个漏洞 | Operations Bridge Reporter版本小于10.40 |
7 | CVE-2020-29557 | D-Link DIR-825 R1(版本小于3.0.1) |
8 | CVE-2019-19356 | Netis WF2419(版本:V1.2.31805 and V2.2.36123) |
9 | CVE-2021-27561/27562 | Yealink DM(版本小于3.6.0.20) |
部分样本SHA256 |
ecae298b18493bf2366f6081e8215a474cce4554e07a7b2380a7f8e8a3a9a37d |
a9c4ea40b08ce4281c2dc9776355186dfc5649f9ec2b36c32fa5540f8d2aef2d |
fb940b1049e0e95c03adb7a2750347108cadf6b19ef4149a5103f7625c07c8ec |
1e56f8ca44f84eff212805fa061ecb0f6fb8bc9499ff2e541ad3c43fb2f4420a |
515dc2fd8819c7fc82395acc4c7fb5b2903982a5f48bc26bc8d0235bc0664d1f |
e2a6ac516ec8b5dcc76becc26cf992434882d490d8f2c9d7071298dba7a641a2 |
ac75cb71c2f052141a238b8f7215d5a0956f7034cf90f231d228ce58254d23ba |
a5ca43106a713c4a8e978575b8685889c244501288b9fa7c7dc7f1e8c5ef1291 |
1d9496814d35d9e302d7e99339e9730fc81c022bc085c0711b73ebad962cbc2b |
caa8b10057fb699d463f309913d0557462e8b37afdaf4d0c3cff63f9b9605f0d |
971b5a96d84ca0d7dd906b639cd97a04835013be32356d09037cff64516c73bf |
部分样本URLS |
http://45.133.1.133/lolol.sh |
http://45.133.1.133/bins/dark.arm4 |
http://45.133.1.133/bins/dark.arm6 |
http://45.133.1.133/bins/dark.arm5 |
http://45.133.1.133/bins/dark.arm7 |
http://45.133.1.133/bins/dark.ppc |
http://45.133.1.133/bins/dark.mpsl |
http://45.133.1.133/bins/dark.mips |
http://45.133.1.133/bins/dark.x86 |
http://45.133.1.133/bins/dark.m68k |
http://45.133.1.133/bins/dark.sh4 |
[1] ExploitDB, SonicWall SSL-VPN 8.0.0.0 - 'shellshock/visualdoor' Remote Code Execution (Unauthenticated), https://www.exploit-db.com/exploits/49499.
[2] F5网络公司, TMM buffer-overflow vulnerability CVE-2021-22991, https://support.f5.com/csp/article/K56715231.
[3] WinMin, Disclosure of vulnerabilities in D-LInk DNS320, https://gist.github.com/WinMin/6f63fd1ae95977e0e2d49bd4b5f00675.[4] Shaked Delarea, Reversing DIR-825 Dlink router, https://shaqed.github.io/dlink.
[5] Pedro Ribeiro, Micro Focus Operations Bridge Reporter, https://github.com/pedrib/PoC/blob/master/advisories/Micro_Focus/Micro_Focus_OBR.md.
[6] NVD, CVE-2020-29557, https://nvd.nist.gov/vuln/detail/CVE-2020-29557.
[7] NVD, CVE-2019-19356, https://nvd.nist.gov/vuln/detail/CVE-2019-19356.
[8] SSD Advisory, Yealink DM Pre Auth ‘root’ level RCE, https://ssd-disclosure.com/ssd-advisory-yealink-dm-pre-auth-root-level-rce/.
研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。