利用Draytek企业网络设备中的漏洞发起攻击

自2019年12月以来，奇虎360NetLab的研究人员发现公网中有两个不同的攻击组织，利用两个0day漏洞来攻击DrayTek企业路由器，以窃听企业网络内的FTP和电子邮件流量，于机器高端口运行SSH服务、创建系统后门账户，甚至还有特定的恶意Web会话后门。

目前Netlab的研究人员已经在网上发现了大约10万台设备，但鉴于内网中的设备并不能被扫描到，所以这个数字可能更高。

而这两个远程命令注入漏洞被标记为CVE-2020-8515，主要影响了DrayTek Vigor网络设备，包括企业交换机、路由器、负载均衡器和VPN网关。

在2020年2月10日，中国台湾制造商DrayTek发布了一个安全公告，里面包含最新固件1.5.1，以修复上述高危漏洞。

而早在2020年1月26日，有研究人员就发布了有关CVE-2020-8515漏洞的一些细节。

在相关文章中，研究人员发现一款设备型号为Vigor 2960的高性能的双wan负载平衡路由器&VPN网关存在缺陷。

当你尝试进行身份验证时，该设备将附带不同的参数向mainfunction.cgi发送一个POST请求。

而研究人员在尝试往每个参数中添加转义字符后，发现可以执行pwd命令。

在能执行命令后，研究人员开始考虑如何提权，不过很快就发现，在运行命令id之后，响应是root！

而在生成反向shell方面，因为输入的命令是由mainfunction.cgi解析的，所以空格会被替换为“+”（存在一些困难）。

而在shodan.io上寻找目标设备，可以发现71029个主机！

如果你搜索Vigor 2960，可以发现有15429个主机。

而两个漏洞的注入点涉及keyPath和rtick，和/www/cgi-bin/mainfunction.cgi文件有关，对应的web服务程序为/usr/sbin/lighttpd。

攻击者会在TCP的22335端口和32459端口开启SSH服务，而且还会添加一个后门帐户wuwuhanhan:caonimuqin。

影响范围

Vigor2960 < v1.5.1

Vigor300B < v1.5.1

Vigor3900 < v1.5.1

VigorSwitch20P2121 <= v2.3.2

VigorSwitch20G1280 <= v2.3.2

VigorSwitch20P1280 <= v2.3.2

VigorSwitch20G2280 <= v2.3.2

VigorSwitch20P2280 <= v2.3.2

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/100621/hacking/draytek-zerodays-attacks.html
      https://www.skullarmy.net/2020/01/draytek-unauthenticated-rce-in-draytek.html