9 月 18 日,研究人员就披露了海康威视的各种产品被有关远程代码执行漏洞攻击。当时海康威视部分产品中的web模块存在一个命令注入漏洞,由于对输入参数校验不充分,攻击者可以发送带有恶意命令的报文到受影响设备,成功利用此漏洞可以导致命令执行,该漏洞很快被命名为 CVE-2021-36260,并在研究人员披露的同一天发布了针对该漏洞的补丁。不久之后,FortiGuard Labs 开发了一个 IPS 签名来解决这个问题。
在分析过程中,我们观察到大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。特别是一种有效载荷引起了我们的注意。它试图删除一个表现出感染行为并执行 Moobot 的下载程序,Moobot是一基于Mirai开发的僵尸网络家族,自从其出现就一直很活跃,并且拥有零日漏洞利用的能力。
漏洞的开发和传播
CVE-2021-36260 源于输入验证不足,允许未经身份验证的用户将恶意内容注入。
利用 CVE-2021-36260 的流量
Syn-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。
DDoS 攻击命令为 24 字节,,详细信息如下图所示,其中包括Flood攻击方法和目标 IP/端口。除了SYN Flood,C2服务器还有其他攻击命令,比如UDP Flood 0x06,ACK Flood 0x04,ACK+PUSH Flood 0x05。
命令
从尝试感染海康威视产品到部署Moobot的完整攻击场景下图所示:
攻击场景
我们还注意到在下图中一个基于设备的数据包捕获的DDoS服务提供商,经过追踪分析,这是一个名为“tianrian”的telegram频道,该频道提供 DDoS 服务。如下图所示,他们在登录界面中使用特定字符串“openmeokbye”。该频道创建于 2021 年 6 月 11 日,并于 8 月开始提供服务。从聊天频道我们可以看到服务还在更新中。用户应该始终注意DDoS攻击,并对易受攻击的设备应用补丁。
从受感染设备捕获的流量
telegram频道
总结
海康威视是全球最大的安防产品及视频处理技术和视频分析技术供应商之一。 CVE-2021-36260 是一个严重漏洞,它使海康威视产品成为 Moobot 的目标。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理