0-day

DrayTek Vigor企业级路由器和交换机设备在野0-day 漏洞分析报告

本文作者:马延龙,叶根深,刘宏达 背景介绍 从2019年12月4开始,360Netlab未知威胁检测系统持续监测到两个攻击团伙使用DrayTek Vigor企业级路由器和交换机设备0-day漏洞,窃听设备网络流量,开启SSH服务并创建系统后门账号,创建Web Session后门等恶意行为。 2019年12月25号,我们在Twitter[1][2]上披露了DrayTek Vigor在野0-day漏洞攻击IoC特征,并给相关国家CERT提供技术支持。 2020年2月10号,厂商DrayTek发布安全公告[3],修复了该漏洞并发布了最新的固件程序1.5.1。 漏洞分析 我们根据Firmware Total系统[4] 进行DrayTek Vigor在野0-day漏洞定位和模拟漏洞验证。其中2个0-day漏洞命令注入点keyPath,rtick已经被厂商修复,它们均位于/www/cgi-bin/mainfunction.cgi程序中,对应的Web Server程序为/usr/sbin/lighttpd。 keyPath 命令注入漏洞分析 漏洞类型:未授权远程命
  • Genshen Ye
    Genshen Ye
6 min read
LILIN DVR

LILIN DVR 在野0-day 漏洞分析报告

本文作者:马延龙,涂凌鸣,叶根深,刘宏达 当我们研究Botnet时,我们一般看到的是攻击者通过N-day漏洞植入Bot程序。但慢慢的,我们看到一个新的趋势,一些攻击者开始更多地利用0-day漏洞发起攻击,利用手段也越发成熟。我们希望安全社区关注到这一现象,积极合作共同应对0-day漏洞攻击威胁。 背景介绍 从2019年8月30号开始,360Netlab未知威胁检测系统持续监测到多个攻击团伙使用LILIN DVR 0-day漏洞传播Chalubo[1],FBot[2],Moobot[3]僵尸网络。 在2020年1月19号,我们开始联系设备厂商LILIN。在2020年2月13号,厂商修复了该漏洞[4],并发布了最新的固件程序2.0b60_20200207[5]。 漏洞分析 LILIN 0-day漏洞主要包括:硬编码登陆账号密码,/z/zbin/dvr_box命令注入漏洞和/z/zbin/net_html.cgi任意文件读取漏洞。其中/z/zbin/dvr_
  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
5 min read