蚂蚁矿机多款型号存在远程命令执行漏洞（CVE-2018-11220）

多个型号蚂蚁矿机存在远程任意命令执行漏洞，其CVE编号为CVE-2018-11220。该漏洞可以使攻击者提升矿机权限，完全接管矿机系统，执行任意系统命令。

蚂蚁矿机系列是比特大陆推出的专门用于挖矿的设备。据FOFA系统显示，目前全球对外可访问的蚂蚁矿机共有11686台。其中美国使用最多，其次是俄罗斯，中国的使用量排在第六位。中国地区中数量最多的是北京，共有208台。

蚂蚁矿机全球网络资产分布情况（仅为分布情况，非漏洞影响情况）

蚂蚁矿机中国网络资产分布情况（仅为分布情况，非漏洞影响情况）

漏洞原理与危害

该漏洞存在于恢复备份功能。蚂蚁矿机的web系统是通过基于bash脚本的web cgi开发，通过白帽汇安全研究院分析发现，在恢复备份文件解压缩后会调用执行备份文件中的restoreConfig.sh文件。这里我们可以通过修改备份文件中的restoreConfig.sh的命令，来达到任意执行命令的目的，最终造成整个系统被接管。

漏洞相关源码截图

该漏洞需要登录系统后才可利用，默认的授权账户为root:root。登录系统后，点击Upgrade，通过上传构造好的带有修改过的restoreConfig.sh文件的.tar包来实现漏洞利用。其中tar包可以通过点击该页面中的Generate archive生成，下载至本地后替换其中的restoreConfig.sh文件。

漏洞影响

目前该漏洞暂无法确定影响。

漏洞POC

将要执行的命令写入至restoreConfig.sh，并将改文件创建一个.tar格式的压缩包。登录进入系统，进入Upgrade界面，选择构建好的.tar包文件，点击Upload archive即可执行成功。

CVE编号

CVE-2018-11220

修复建议

1、加强框架密码强度，切记不要使用默认口令，密码长度最好不少于8位，且包含大小写字母、数字、特殊符号。

白帽汇会持续对该漏洞进行跟进。后续可以关注本链接。

参考

[1] https://fofa.so/result?qbase64=YXBwPSJhbnRtaW5lciI%3D

[2] https://www.exploit-db.com/exploits/44779/