【威胁通告】攻击者利用漏洞攻击Edimax WiFi桥接器
绿盟威胁情报中心 [绿盟科技安全情报](javascript:void(0)???? 今天
2020年4月14日,Exploit DB公布了一个针对Edimax WiFi桥接器的远程执行漏洞的利用(EDB-ID:48318),绿盟科技格物实验室结合绿盟威胁情报中心(NTI)对相应设备的暴露情况进行验证,发现2020年年初至今,Edimax WiFi桥接器暴露数量达到6000台以上。
绿盟威胁情报中心(NTI)已支持对该事件的在线检测(https://nti.nsfocus.com),同时使用绿盟威胁情报赋能的产品也均已支持对该事件的精确检测。
事件脆弱性分析
绿盟科技格物实验室发现除了2020年4月14日由Exploit DB公布的RCE之外,Exploit DB中还存在8个Edimax的漏洞利用。
事件互联网暴露情况
绿盟科技格物实验室发现2020年年初至今,互联网中暴露的无需认证的Edimax WiFi桥接器共665个,暴露但需要认证的Edimax WiFi桥接器共5580个。
事件威胁分析
绿盟科技格物实验室发现,在对漏洞利用增加交互的当天(2020年4月18日),便捕获到了利用匿名DNS Log平台对该漏洞的探测行为。次日(2020年4月19日)便捕获到利用该漏洞投递样本的行为。整个事件的流程为:
【4月14日】漏洞利用公布。
【4月18日】紧急在威胁捕获系统中增加了针对该漏洞的交互。
【4月18日】绿盟科技格物实验室捕获到针对该漏洞的探测行为,值得注意的是,此次捕获到的探测行为不同于往常,其尝试请求dnslog.cn,通过查询dns记录的方式确认设备是否具备脆弱性。
【4月19日】绿盟科技格物实验室捕获到利用该漏洞投递样本的行为。
【4月21日】利用该漏洞投递样本的行为出现了爆发的现象。
该事件在NTI的查询详情如下:
涉及到该事件的C&C服务器的详情如下:
此外,通过绿盟威胁情报中心威胁知识图谱发现,针对Edimax WiFi桥接器漏洞投递的部分样本为Gafgyt家族的变种(如下图所示)。说明部分蠕虫家族已经更新其漏洞库,对这些设备发动攻击。
IOC持续更新中,完整IOC列表可在绿盟威胁情报中心(https://nti.nsfocus.com)获取。
转载自https://mp.weixin.qq.com/s/ML9rzsHWxKkToRrLNVgbxA
