蚂蚁矿机多款型号存在远程命令执行漏洞(CVE-2018-11220)

BaCde  2122天前

多个型号蚂蚁矿机存在远程任意命令执行漏洞,其CVE编号为CVE-2018-11220。该漏洞可以使攻击者提升矿机权限,完全接管矿机系统,执行任意系统命令。

蚂蚁矿机系列是比特大陆推出的专门用于挖矿的设备。据FOFA系统显示,目前全球对外可访问的蚂蚁矿机共有11686台。其中美国使用最多,其次是俄罗斯,中国的使用量排在第六位。中国地区中数量最多的是北京,共有208台。

蚂蚁矿机全球网络资产分布情况(仅为分布情况,非漏洞影响情况)

蚂蚁矿机中国网络资产分布情况(仅为分布情况,非漏洞影响情况)

漏洞原理与危害

该漏洞存在于恢复备份功能。蚂蚁矿机的web系统是通过基于bash脚本的web cgi开发,通过白帽汇安全研究院分析发现,在恢复备份文件解压缩后会调用执行备份文件中的restoreConfig.sh文件。这里我们可以通过修改备份文件中的restoreConfig.sh的命令,来达到任意执行命令的目的,最终造成整个系统被接管。

漏洞相关源码截图

该漏洞需要登录系统后才可利用,默认的授权账户为root:root。登录系统后,点击Upgrade,通过上传构造好的带有修改过的restoreConfig.sh文件的.tar包来实现漏洞利用。其中tar包可以通过点击该页面中的Generate archive生成,下载至本地后替换其中的restoreConfig.sh文件。

漏洞影响

目前该漏洞暂无法确定影响。

漏洞POC

将要执行的命令写入至restoreConfig.sh,并将改文件创建一个.tar格式的压缩包。登录进入系统,进入Upgrade界面,选择构建好的.tar包文件,点击Upload archive即可执行成功。

CVE编号

CVE-2018-11220

修复建议

1、加强框架密码强度,切记不要使用默认口令,密码长度最好不少于8位,且包含大小写字母、数字、特殊符号。

白帽汇会持续对该漏洞进行跟进。后续可以关注本链接。

参考

[1] https://fofa.so/result?qbase64=YXBwPSJhbnRtaW5lciI%3D

[2] https://www.exploit-db.com/exploits/44779/

最新评论

crent  :  算狗屁漏洞
2121天前 回复
Later  :  这算是漏洞吧
2085天前 回复
Later  :  真的
2085天前 回复
Later  :  回复 很**的漏洞
2085天前 回复
卡萨大大  :  蚂蚁
2066天前 回复
6月一雨  :  侬不知道!^_^
2066天前 回复
昵称
邮箱
提交评论