酷应用

僵尸网络瞄准SonicWall “Virtual Office”SSL VPN，揭开隐匿在物联网设备背后的真面目

百家作者：绿盟科技 2021-03-18 17:50:54

全文共1974字，阅读大约需要4分钟。

事件简介

近日，绿盟科技伏影实验室通过威胁捕获系统捕获到一个利用SonicWall “Virtual Office” SSL VPN RCE进行传播的Mirai dark系列变种，该系列多以dark.[platform]命名恶意文件。经过分析，除使用上述漏洞传播以外，该变种还使用了1个0day、6个1day以及2个Nday漏洞，影响SSL VPN、路由器、NAS、Web网关等多种设备。

其中，Netis WF2419的Nday漏洞（CVE-2019-19356）被NVD公布已经时隔一年，虽然漏洞及利用已经公布，但厂商依然没有修补，说明除0day漏洞外，僵尸网络同样关注暴露在网络中的具有脆弱性的老旧物联网设备。

最后，从F5 BIG-IP漏洞（CVE-2021-22991）的EXP公布（2021年3月10日）到我们首次捕获到利用该漏洞传播恶意样本（2021年3月11日）仅时隔1天；从SonicWall “Virtual Office” SSL VPN RCE漏洞利用公布（2021年1月24日）到我们首次捕获到漏洞探测行为（2021年1月27日）仅间隔3天，说明僵尸网络目前非常关注物联网相关的1day漏洞且效率极高，研究团队与僵尸网络的对抗已经上升到了对漏洞跟进效率的对抗。

威胁分析

2020年，多个研究团队发现APT组织如Dark hotel，“Fox Kitten”等利用VPN完成攻击活动，VPN等安全产品的脆弱性引起了各方关注。而SonicWall “Virtual Office” SSL VPN和F5 BIG-IP均属于流量、内容控制产品，安全产品反而出现RCE漏洞被利用，后果难以想象。由于僵尸网络针对F5 BIG-IP漏洞（CVE-2021-22991）的攻击行为尚在演变，本节将就SonicWall “Virtual Office” SSL VPN RCE的威胁分析做相关说明。

2.1

●

背景概述

SonicWall是一家位于硅谷的私营公司，主要销售内容控制和网络安全相关产品，旗下的“Virtual Office”产品宣称可以通过SSL VPN技术为远程用户提供安全的互联网接入。

2021年1月24日，Darren Martyn在个人博客上公开了SonicWall “Virtual Office” SSL VPN系列产品的一个远程代码执行漏洞及EXP。1月27日起，绿盟威胁捕获系统捕获到了针对该漏洞的相关探测、攻击活动。1月29日，漏洞利用平台ExploitDB收录了该漏洞利用，说明即使专注漏洞利用的ExploiDB依然存在EXP收录滞后的问题。

截至成稿，我们发现攻击者已经更新了漏洞探测的手法，且正逐渐增加探测活动的投入，使用相应产品的用户请及时升级固件，相关团队应提前做好预防措施。

2.2

●

时间线

2021年1月24日

Darren Martyn在个人博客上公开了SonicWall “Virtual Office” SSL VPN系列产品的一个远程代码执行漏洞。

2021年1月25日

Lorenzo Ordóñez在Twitter转发了Darren Martyn的博客。

2021年1月26日

SonicWall在Twitter回应，称漏洞仅影响2015年版本小于SMA 8.0.0.4的设备。

2021年1月27日

伏影实验室首次捕获到漏洞探测行为。攻击者使用了与公开EXP相同的方式探测漏洞，即通过该命令执行漏洞执行 “cat /etc/passwd”命令，通过回显中是否包含“root:”判断被探测设备是否具有脆弱性。

2021年1月29日

ExploitDB收录了该漏洞利用。

2021年2月3日

伏影实验室捕获到第二轮漏洞探测活动，且探测活动呈现高峰。

2021年2月18日

伏影实验室捕获到针对全网的样本投递行为。攻击者开始利用该漏洞投递样本，期间并未发现针对该漏洞的脆弱性探测活动，虽然变换了存放样本的服务器和域名，但样本均被命名为lolol.sh。

2021年3月9日

伏影实验室捕获到攻击者使用新的方式探测漏洞。攻击者停止了投递样本的行为，改变了漏洞探测的方式，通过执行“echo aaaaaaaaaaaabbbbbbbbbbbbbbbb”的方式再次探测漏洞。新的漏洞探测方式，将更加准确的探测出具备脆弱性的设备，针对特定EXP、交互程度较低的蜜罐将无法捕获该探测活动的后续行为。

2.3

●

攻击利用趋势

我们对漏洞探测及利用次数进行了统计，如图 2.1 所示。漏洞的探测行为首次出现在2021年2月17日，在Darren Martyn公开漏洞利用的前半个月相对活跃且出现了两轮高峰。2021年2月18日起出现投递样本行为利用次数较少。2021年3月9日起更换漏洞探测方式后，探测活动再次呈现上升趋势。

图2.1 漏洞探测、利用次数变化趋势

对攻击源数量的统计如图 2.2 所示。除2021年1月27日攻击源IP较多以外，其余时间段攻击源数量均小于5个，说明攻击者大部分时间段并未发动僵尸网络进行漏洞探测和利用，这与攻击者漏洞利用手法迅速变化的表现一致。

图2.2 攻击源IP数量变化趋势

2.1

●

暴露情况分析

Darren Martyn的个人博客公开了SonicWall “Virtual Office”的设备指纹，通过Shodan检索公开的两个指纹，全网共计暴露约7000台以上SonicWall “Virtual Office”设备及服务，暴露情况最严重的地区为美国。

图2.3 通过SonicWall “Virtual Office”指纹一检索的暴露情况

图2.4 通过SonicWall “Virtual Office”指纹二检索的暴露情况

2.5

●

下载器分析

经过分析，该样本直接在原版Mirai源码上构建，特点是增加了一个0day漏洞和多个1day漏洞。其下载器与常见下载器不同，分为三部分：

第一部分，下载器删除目标主机的/tmp、/home、/var/run、/etc/cron.d、/etc/cron.daily/、/etc/init.d目录，即清除临时目录、用户主目录、自启动任务以及定时任务。

图2.5 样本第一部分

第二部分，下载器从服务器拉取x86、mips、mpsl、arm4、arm5、arm6、arm7、ppc、m68k、sh4等架构的样本，重命名为nginx后执行相应样本，加大目标主机感染后相关人员排查的难度。

图 2.6 样本第二部分

第三部分，下载器将程序本身写入/etc/cron.d/目录，定时执行下载器自身。最后，清空目标主机所有的防火墙设置，并关闭22、23、80、443、8080、9000、8089、7070、8081、9090、161、5555、9600、21412端口。让目标主机彻底成为僵尸主机，运维人员和其他僵尸网络将无法通过上述端口，远程访问设备。

图2.7 样本第三部分

脆弱性分析

通过对蜜罐日志以及样本的交叉分析，我们发现与其他Mirai变种相比，dark系列变种利用的样本涵盖了0day、1day以及Nday漏洞，其中存在较新的1day漏洞，也存在老旧的RCE漏洞，本节将就重点漏洞利用做相关说明。

3.1

●

重点漏洞说明

Crestron AM-100 0day

Crestron是美国的一家私营跨国公司，位于新泽西州罗克利，是从事视听自动化和集成设备的制造商和分销商。该公司设计、制造和分发用于控制商业视听环境（如会议场所，会议室，教室和礼堂）中的技术的设备；Crestron设备还用于高端住宅视听设备。

捕获到的dark系列僵尸网络利用了该公司AM-100 AirMedia®演示网关的0day漏洞传播样本。该漏洞通过AM-100的CGI服务触发，通过在POST请求的body中拼接命令即可完成命令注入。

SonicWall “Virtual Office” SSL VPN RCE

SonicWall “Virtual Office” SSL VPN RCE（漏洞详情参见EDB-ID:49499）影响版本小于SMA 8.0.0.4的SonicWall相关设备，完整的请求如图 3.1 所示：

图3.1 SonicWall “Virtual Office” SSL VPN RCE

完整请求

触发该漏洞的PATH_INFO为：/cgi-bin/jarrewrite.sh，命令执行的负载位于User-Agent，构建shellshock触发命令执行。

CVE-2021-22991

F5公司是一家专门从事应用程序服务和应用程序交付网络（ADN）的美国公司。其产品最初基于负载平衡产品，后来已扩展到包括加速、应用安全性和DDoS防御等领域。

CVE-2021-22991影响的设备包括：BIG-IP APM、BIG-IP ASM、BIG-IP PEM、Secure Web Gateway (SWG)、SSL Orchestrator、BIG-IP (all modules)。该漏洞通过构建类似HTTP的请求触发命令执行，完整payload如图 3.2 所示：

图3.2 CVE-2021-22991完整请求

3.2

●

漏洞汇总

表3.1 Dark系列变种漏洞汇总

IoC

· 参考文献 ·

[1] ExploitDB, SonicWall SSL-VPN 8.0.0.0 - 'shellshock/visualdoor' Remote Code Execution (Unauthenticated), https://www.exploit-db.com/exploits/49499.

[2] F5网络公司, TMM buffer-overflow vulnerability CVE-2021-22991, https://support.f5.com/csp/article/K56715231.

[3] WinMin, Disclosure of vulnerabilities in D-LInk DNS320, https://gist.github.com/WinMin/6f63fd1ae95977e0e2d49bd4b5f00675.

[4] Shaked Delarea, Reversing DIR-825 Dlink router, https://shaqed.github.io/dlink.

[5] Pedro Ribeiro, Micro Focus Operations Bridge Reporter, https://github.com/pedrib/PoC/blob/master/advisories/Micro_Focus/Micro_Focus_OBR.md.

[6] NVD, CVE-2020-29557, https://nvd.nist.gov/vuln/detail/CVE-2020-29557.

[7] NVD, CVE-2019-19356, https://nvd.nist.gov/vuln/detail/CVE-2019-19356.

[8] SSD Advisory, Yealink DM Pre Auth ‘root’ level RCE, https://ssd-disclosure.com/ssd-advisory-yealink-dm-pre-auth-root-level-rce/.

绿盟科技伏影实验室

伏影实验室专注于安全威胁与监测技术研究。研究目标包括僵尸网络威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。