身份不明的黑客正在积极利用关键的身份验证绕过漏洞劫持家庭路由器,将它们纳入用于执行 DDoS 攻击的 Mirai 变体僵尸网络,仅在其公开披露两天后。

该漏洞被跟踪为CVE-2021-20090(CVSS 评分:9.9),该漏洞涉及带有 Arcadyan 固件的路由器Web 界面中的路径遍历漏洞,该漏洞可能允许未经身份验证的远程攻击者绕过身份验证。

国内知名网络安全组织东方联盟披露,该问题据信已存在至少 10 年,影响了 17 家不同供应商的至少 20 款机型,包括华硕、Beeline、英国电信、Buffalo、德国电信、Orange、Telstra、Telus、Verizon ,和沃达丰。

黑客成功利用该漏洞可使攻击者绕过身份验证障碍并可能获得敏感信息的访问权限,包括可用于发出更改路由器设置请求的有效请求令牌。

东方联盟网络威胁实验室上周表示,从 8 月 5 日开始,攻击者利用它来部署 Mirai 变体在受影响的路由器上,反映了今年 3 月初 Palo Alto Networks 的 Unit 42揭示的类似技术。

研究人员说:“这种相似性可能表明,这次新攻击的幕后黑手是同一个威胁行为者,并试图用另一个新披露的漏洞升级他们的渗透武器库。”

除了 CVE-2021-20090,据说黑客还利用许多其它漏洞进行攻击,例如:

CVE-2020-29557(D-Link DIR-825 R1 设备中的预认证远程代码执行)

CVE-2021-1497和CVE-2021-1498(Cisco HyperFlex HX 中的命令注入漏洞)

CVE-2021-31755(Tenda AC11 中的堆栈缓冲区溢出漏洞导致任意代码执行)

CVE-2021-22502(Micro Focus Operation Bridge Reporter 中的远程代码执行缺陷)

CVE-2021-22506(Micro Focus Access Manager 中的信息泄漏漏洞)

研究人员报告此前发现了多达 6 个已知和 3 个未知安全漏洞,这些漏洞在攻击中被利用,包括针对 SonicWall SSL-VPN、D-Link DNS-320 防火墙、Netis WF2419 无线路由器和 Netgear ProSAFE Plus 交换机的漏洞。

为避免任何潜在的危害,建议用户将其路由器固件更新到最新版本。

东方联盟研究人员表示:“很明显,黑客会密切关注所有公开的漏洞。每当发布漏洞利用 PoC 时,他们通常只需要很少的时间将其集成到他们的平台中并发起攻击”。(欢迎转载分享)

黑客利用数百万路由器的新身份验证绕过漏洞相关推荐

  1. 98.网络安全渗透测试—[常规漏洞挖掘与利用篇14]—[SESSION身份验证绕过漏洞与测试]

    我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.session身份验证绕过漏洞与测试 1.session机制 2.session的生命周期 3.出现漏洞的情 ...

  2. 【高危】Apache Linkis Gateway模块存在身份验证绕过漏洞(CVE-2023-27987)

    漏洞描述 Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件.Gateway 是 Linkis 接受客户端和外部请求的主要入口点, 在 Apache Linki ...

  3. struts2漏洞监测_Apache Shiro身份验证绕过漏洞风险提示

    漏洞公告 2020年8月17日,安恒应急响应中心监测发现Apache Shiro官方更新发布了1.6.0之前版本存在身份验证绕过的漏洞公告,对应CVE编号:CVE-2020-13933,相关链接: h ...

  4. 身份验证绕过漏洞分析

    0x01 前言 最近Tenable 披露了Arcadyna 网络设备身份验证绕过漏洞,并且很多的厂商都采用产生漏洞的组件,由于Arcadyan 设备固件厂商并没有开源出来,在官网支持里面下载的文件是w ...

  5. Zyxel-NBG2105(CVE-2021-3297)身份验证绕过漏洞复现

    简介 Zyxel-NBG2105 存在身份验证绕过,可以通过更改 login参数可用实现以管理员身份进行后台登陆. zoomeye 漏洞验证 通过右键源代码查看一下源码,这里不知道为什么不能右键,就在 ...

  6. CVE-2022-40684 Fortinet(飞塔)身份验证绕过漏洞

    GitHub地址: https://github.com/hughink/CVE-2022-40684 漏洞简介 Fortinet(飞塔)是一家全球知名的网络安全产品和安全解决方案提供商,其产品包括防 ...

  7. 【CVE-2020-1957】shiro搭配spring时身份验证绕过漏洞分析

    0x00 漏洞简介 https://www.openwall.com/lists/oss-security/2020/03/23/2 0x01 漏洞分析 翻查官方commit,在commit http ...

  8. 东亚银行领千万级罚单、“十四五”数字经济发展规划发布、数百万路由器受漏洞影响|网络安全周报

    2022年1月8日至1月14日共收录全球网络安全热点10项,涉及Microsoft .东亚银行等. 01 国务院印发"十四五"数字经济发展规划,网络安全地位得到提升 1月12日,国 ...

  9. 系统安全: GeneXus 新身份验证方案

    GAM 是 GeneXus 访问管理器,用于在您的应用程序中实现身份验证和授权,此功能为GeneXus内置功能. 介绍前我们先了解安全和身份验证领域正在发生的事情. Auth0关于市场上可用的身份验证 ...

最新文章

  1. 反调试技巧总结-原理和实现(1)(2)(3)(4)(5)(6)......
  2. 2020年港澳台电视直播软件_中山大学2020年港澳台侨联考各专业录取分数线
  3. JVM Class详解之一
  4. SuperTuxKart 1.0 发布,开源赛车游戏
  5. noip2017考前整理(未完)
  6. 物联网网关linux带串口,物联网网关|串口转HTTP GET协议
  7. Ubuntu IPFS小白安装入门教程
  8. 身份证校验码计算:根据身份证前17位计算第18位校验码-c++实现
  9. 取之盈--别人轻松月薪过万,都是怎样高效学习的?
  10. Python单例模式
  11. 留学目的地选择之伊利诺伊州
  12. 天马行空 | 假如上网装X需要花钱?
  13. 计算机断网后怎么连接网络连接,win7系统中网络经常掉线断网后又自动连接上怎么办...
  14. 【工具】C盘垃圾自动清理软件
  15. 利用python修改小米运动数据,整个朋友圈都感觉太夸张了
  16. 坚果投影仪怎么才能访问电脑共享文件,详细的操作方法分享
  17. 沈阳大学博客网站的设计与实现
  18. google 招聘题
  19. 关于Qt数据库相关开发的一些经验总结
  20. 挂载硬盘 linux_Linux怎么挂载移动硬盘光盘U盘之案例分享

热门文章

  1. lambda表达式java项目常用_一文带你彻底搞懂Lambda表达式
  2. Vue + Element UI 使用富文本编辑器
  3. android h xh xxh 分辨率,关于Android屏幕的一些理解
  4. 解决TimeWait过多的问题
  5. 2022-3-3 Leetcode 309.最 佳买卖股票时机含冷冻期
  6. python-message v0.2.x 全接触
  7. 使用Loadrunner打开WebTours录制脚本时提示“应用程序已被Java安全阻止”如何解决
  8. 2022-1-15 牛客C++项目——第二章 Linux 多进程开发
  9. 2022-1-13牛客网C++项目—— 第二章 Linux 多进程开发(一)
  10. 全国首例区块链公证书亮相,背后公司深安科技已获数千万元天使融资...