【漏洞分析】华为路由器0day漏洞（CVE-2017-17215）曝光

原标题：【漏洞分析】华为路由器0day漏洞（CVE-2017-17215）曝光

导语：华为家用路由器HG532发现远程代码执行0day漏洞（CVE-2017-17215）。攻击者利用该漏洞建立了一个类似Mirai的僵尸网络，经过调查分析发现，攻击者的身份应该只是一个爱好者，而不具有国家或者大型组织背景。

Check Point研究人员发现，华为家用路由器HG532存在0day漏洞（CVE-2017-17215），可以远程执行任意代码，并且已经有攻击利用了该漏洞。payload是名为OKIRU/SATORI，是Mirai的升级版变种。攻击发起者的昵称为Nexus Zeta，后面会进行深入分析。

攻击分析

11月23日，Check Point的研究人员发现蜜罐中有一些可疑的安全警告。经过调查发现了攻击运行在37215端口，利用的了已经公布的华为家用路由器HG532 CVE-2017-17215漏洞。同样的攻击模式也出现在美国、意大利、德国、埃及等地的传感器中，所以这是由华为路由器组成的僵尸网络。

研究人员确认了漏洞后，就通报给华为，华为安全团队非常给力，很快对该漏洞进行了响应和修复，并提供了补丁。

华为路由器组成的僵尸网络感染图

CVE-2017-17215

华为网关应用了UPnP（通用即插即用）协议，通过TR-064及技术标准，UPnP被广泛用于家用和企业用的嵌入式设备。TR-064用于本地网络配置，比如工程师可以进行基本的设备配置，固件升级等。但是，华为使用TR-064时，通过37215端口暴露给了互联网。

从设备的UPnP描述来看，它支持DeviceUpgrade服务，这种服务是通过发送请求给/ctrlt/DeviceUpgrade_1来实现固件升级的，还通过NewStatusURL和NewDownloadURL两个元素实现。

漏洞允许远程管理员通过注入shell 元字符到NewStatusURL和NewDownloadURL中来执行难任意代码。

攻击向量

以上执行后，利用会返回一个默认的HUAWEIUPNP消息，这就模拟了一个upgrade过程。

僵尸网络命令注入

VirusTotal 对payload的检测成功率

工作原理

Payload的功能非常简单。僵尸主机的主要意图是用伪造的UDP和TCP包对目标发起洪泛攻击。攻击开始后，僵尸主机会发起对硬编码域名的DNS请求来解析C&C服务器的IP地址。僵尸主机会从DNS响应从获取IP地址，并尝试用硬编码的端口（例子中是7645）连接。

Mirai僵尸网络中，用0x07值以XOR的方式对DNS名和其他的字符串进行硬编码。

Payload也含有非编码的字符串，是从不会用的虚假C&C域名：

经过加密的和假的C&C域名

用于洪泛的包的数量和对应的从C&C服务器传输的参数：

从C&C服务器接受的数据

C&C服务器可以传递用于攻击的单个IP地址或者子网：

给定子网生成的随机IP地址

在发送包后，僵尸主机并不会等待来自被攻击主机的响应。

僵尸主机的二进制文件含有一些从没有用过的、混淆过的、明文的文本字符串。这可能是从其他僵尸或之前的版本的残留。

C&C流量

对于C&C通信，僵尸会使用自己的协议，有两个硬编码的请求用于检查和认证：

硬编码的C&C请求

C&C请求例子

C&C服务器响应含有DDOS攻击的参数，如果响应消息的前两个字节是0000或0107，那么之后的数据就是攻击数据，DDOS攻击功能也就发起了。如果字节不对应，那么就不会有DDOS攻击行为。

C&C响应例子

IoC

攻击服务器和Dropzones

93.97.219

211.123.69

7.59.177

106.110.90

nexusiotsolutions.net.

nexuszeta1337@gmail.com

Payloads

7a38ee6ee15bd89d50161b3061b763ea mips

f8130e86dc0fcdbcfa0d3b2425d3fcbf okiru.x86

fd2bd0bf25fc306cc391bdcde1fcaeda okiru.arm

攻击者分析

我们分析这款新的恶意软件的同时，引出了许多关于攻击发起者身份的问题。因为流量巨大，未知的0day漏洞和多个攻击服务器，所以很难判断攻击者的身份，最初怀疑是背后有国家势力支持或者是一些臭名昭著的黑客组织。

慢慢地，我们发现了注册僵尸网站C&C域名（nexusiotsolutions.net）的邮箱地址nexuszeta1337@gmail.com和昵称“Nexus Zeta”。搜索Nexus Zeta1337我们发现HackForums有一名昵称为Nexus Zeta的注册成员。根据发帖内容可以判断，他的最初的目的是建立一个类似Mirai的IOT僵尸网络。

下图分别是Nexus Zeta在hackforums的发帖、twitter帐号和github主页，从中可以得出结论，Nexus Zeta应该只是一个极客，针对华为路由器0day漏洞利用的攻击活动也只是个人兴趣，并没有政府组织和其他大规模黑客组织的参与。

参考文献

https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-1016.html

http://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en

https://research.checkpoint.com/good-zero-day-skiddie/

本文转载自嘶吼。

阿里聚安全

阿里聚安全（http://jaq.alibaba.com）由阿里巴巴安全部出品，面向企业和开发者提供互联网业务安全解决方案，全面覆盖移动安全、数据风控、内容安全、实人认证等维度，并在业界率先提出“以业务为中心的安全”，赋能生态，与行业共享阿里巴巴集团多年沉淀的专业安全能力。