自 2024 年 11 月初以来，Mirai 僵尸网络变种被发现利用新披露的安全漏洞影响 Four-Faith 工业路由器，目的是发动分布式拒绝服务 (DDoS) 攻击。

该僵尸网络每天维持着大约 15,000 个活跃 IP 地址，感染主要分散在中国、伊朗、俄罗斯、土耳其和美国。

该恶意软件利用了超过 20 个已知安全漏洞和弱的 Telnet 凭据进行初始访问，已知自 2024 年 2 月以来一直活跃。该僵尸网络被称为“gayfemboy”，指的是源代码中存在的攻击性术语。

奇安信 XLab表示，其观察到该恶意软件利用中国四信生产的工业路由器中的零日漏洞，最早在 2024 年 11 月 9 日传播这些文件。

该漏洞为 CVE-2024-12856（CVSS 评分：7.2），它指的是影响路由器型号 F3x24 和 F3x36 的操作系统 (OS) 命令注入漏洞，该漏洞利用未更改的默认凭据。

上个月底，VulnCheck向 The Hacker News透露，该漏洞已被广泛利用，在受感染的设备上投放反向 shell 和类似 Mirai 的有效载荷。

僵尸网络利用的其他一些安全漏洞包括 CVE-2013-3307、CVE-2013-7471、CVE-2014-8361、CVE-2016-20016、CVE-2017-17215、CVE-2017-5259、CVE-2020-25499、CVE-2020-9054、CVE-2021-35394、CVE-2023-26801、CVE-2024-8956 和 CVE-2024-8957。

一旦启动，该恶意软件就会试图隐藏恶意进程并实现基于 Mirai 的命令格式来扫描易受攻击的设备、自我更新并对感兴趣的目标发起 DDoS 攻击。

利用僵尸网络的 DDoS 攻击每天都会针对数百个不同的实体，攻击活动在 2024 年 10 月和 11 月达到新的高峰。攻击持续时间为 10 到 30 秒，产生的流量约为 100 Gbps。

几周前，瞻博网络曾警告称，恶意攻击者正利用默认密码的会话智能路由器 (SSR) 产品植入 Mirai 僵尸网络恶意软件。Akamai 还披露，Mirai 恶意软件感染可利用 DigiEver DVR 中的远程代码执行漏洞。

XLab 研究人员表示：“DDoS 已经成为最常见、破坏力最强的网络攻击形式之一。其攻击方式多样，攻击路径隐蔽性强，可以采用不断演进的策略和技术对各个行业和系统进行精准打击，对企业、政府组织和个人用户构成重大威胁。”

与此同时，威胁行为者正在利用易受攻击和配置错误的 PHP 服务器（例如CVE-2024-4577）来部署名为 PacketCrypt 的加密货币矿工。

总部位于台湾的 Moxa警告称，其蜂窝路由器、安全路由器和网络安全设备存在两个安全漏洞，可能导致权限提升和命令执行。

漏洞列表如下：

CVE-2024-9138（CVSS 4.0 评分：8.6） - 一种硬编码凭证漏洞，可能允许经过身份验证的用户提升权限并获得系统的根级访问权限，从而导致系统入侵、未经授权的修改、数据泄露或服务中断
CVE-2024-9140（CVSS 4.0 评分：9.3） - 该漏洞允许攻击者利用特殊字符绕过输入限制，从而可能导致未经授权的命令执行
安全研究员 Lars Haulin 报告称，这些缺陷影响以下产品和固件版本 -

CVE-2024-9138 - EDR-810 系列（固件版本 5.12.37 及更早版本）、EDR-8010 系列（固件版本 3.13.1 及更早版本）、EDR-G902 系列（固件版本 5.7.25 及更早版本）、EDR-G902 系列（固件版本 5.7.25 及更早版本）、EDR-G9004 系列（固件版本 3.13.1 及更早版本）、EDR-G9010 系列（固件版本 3.13.1 及更早版本）、EDF-G1002-BP 系列（固件版本 3.13.1 及更早版本）、NAT-102 系列（固件版本 1.0.5 及更早版本）、OnCell G4302-LTE4 系列（固件版本 3.13 及更早版本）以及 TN-4900 系列（固件版本 3.13 及更早版本）更早）
CVE-2024-9140 - EDR-8010 系列（固件版本 3.13.1 及更早版本）、EDR-G9004 系列（固件版本 3.13.1 及更早版本）、EDR-G9010 系列（固件版本 3.13.1 及更早版本）、EDF-G1002-BP 系列（固件版本 3.13.1 及更早版本）、NAT-102 系列（固件版本 1.0.5 及更早版本）、OnCell G4302-LTE4 系列（固件版本 3.13 及更早版本）和 TN-4900 系列（固件版本 3.13 及更早版本）

已为以下版本提供补丁 -

EDR-810 系列（升级至固件版本 3.14 或更高版本）
EDR-8010 系列（升级至固件版本 3.14 或更高版本）
EDR-G902 系列（升级至固件版本 3.14 或更高版本）
EDR-G903 系列 (升级至固件版本 3.14 或更高版本)
EDR-G9004 系列 (升级至固件版本 3.14 或更高版本)
EDR-G9010 系列 (升级至固件版本 3.14 或更高版本)
EDF-G1002-BP系列（升级至固件版本3.14或更高版本）
NAT-102 系列（无官方补丁可用）
OnCell G4302-LTE4 系列（请联系 Moxa 技术支持）
TN-4900 系列（请联系 Moxa 技术支持）
作为缓解措施，建议确保设备不暴露在互联网上，使用防火墙规则或 TCP 包装器限制对受信任的 IP 地址和网络的 SSH 访问，并采取措施检测和防止利用尝试。

根据 VulnCheck 的最新发现，影响部分 Four-Faith 路由器的高严重性漏洞已在野外遭到积极利用。

该漏洞的编号为CVE-2024-12856（CVSS 评分：7.2），被描述为影响路由器型号 F3x24 和 F3x36 的操作系统 (OS) 命令注入漏洞。

由于该漏洞仅当远程攻击者能够成功验证身份时才会起作用，因此其严重性较低。但是，如果与路由器关联的默认凭据未更改，则可能导致未经验证的操作系统命令执行。

在 VulnCheck 详述的攻击中，发现未知威胁行为者利用路由器的默认凭据来触发 CVE-2024-12856 的利用并启动反向 shell 以实现持久远程访问。

此次攻击尝试源自 IP 地址178.215.238[.]91，该地址之前曾用于试图利用CVE-2019-12168进行攻击，这是影响 Four-Faith 路由器的另一个远程代码执行漏洞。据威胁情报公司 GreyNoise 称，最近一次利用 CVE-2019-12168 的尝试是在 2024 年 12 月 19 日。

Jacob Baines 在一份报告中表示： “至少可以通过 HTTP 使用 /apply.cgi 端点对 Four-Faith F3x24 和 F3x36 进行攻击。通过submit_type=adjust_sys_time 修改设备的系统时间时，系统容易受到 adj_time_year 参数中的操作系统命令注入攻击。”

Censys 的数据显示，有超过 15,000 台面向互联网的设备。有证据表明，利用该漏洞的攻击可能至少从 2024 年 11 月初就开始了。

目前尚无关于补丁可用性的信息，但 VulnCheck 表示已于 2024 年 12 月 20 日负责任地向这家中国公司报告了该漏洞。Hacker News 在本文发布之前已联系 Four-Faith 征求意见，如果收到回复，我们将更新本文。

DrayTek 生产的家用和企业路由器中发现了十几个新的安全漏洞，这些漏洞可被利用来接管易受攻击的设备。

Forescout Vedere Labs 在与 The Hacker News 分享的技术报告中表示：“这些漏洞可能使攻击者通过注入恶意代码来控制路由器，从而使他们在设备上持久驻留并将其用作进入企业网络的网关。”

在这 14 个安全漏洞中，两个被评为严重，九个被评为高严重，三个被评为中等严重。最严重的一个漏洞获得了 CVSS 最高评分 10.0。

它涉及 Web 用户界面中“GetCGI()”函数中的缓冲区溢出错误，该错误可能在处理查询字符串参数时导致拒绝服务 (DoS) 或远程代码执行 (RCE)。

另一个严重的漏洞与用于主机和客户机操作系统之间通信的“recvCmd”二进制文件中的操作系统（OS）命令注入有关。

其余 12 个缺陷如下：

整个系统使用相同的管理员凭据，导致整个系统受到攻击（CVSS 评分：7.5）
Web UI 中存在反射型跨站点脚本 (XSS) 漏洞（CVSS 评分：7.5）
配置登录后自定义问候消息时 Web UI 中存在存储型 XSS 漏洞（CVSS 评分：4.9）
配置显示给用户的自定义路由器名称时，Web UI 中存在存储型 XSS 漏洞（CVSS 评分：4.9）
Web UI 登录页面中的反射型 XSS 漏洞（CVSS 评分：4.9）
Web UI 的 CGI 页面“/cgi-bin/v2x00.cgi”和“/cgi-bin/cgiwcg.cgi”中的缓冲区溢出漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 CGI 页面中的缓冲区溢出漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的“/cgi-bin/ipfedr.cgi”页面中存在堆栈缓冲区溢出漏洞，可导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 中存在多个缓冲区溢出漏洞，可导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 ft_payloads_dns() 函数中存在基于堆的缓冲区溢出漏洞，可导致 DoS（CVSS 评分：7.2）
Web UI 中的越界写入漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 Web 服务器后端存在信息泄露漏洞，可能允许威胁行为者执行中间人 (AitM) 攻击（CVSS 评分：7.6）
Forescout 的分析发现，超过 704,000 台 DrayTek 路由器的 Web UI 暴露在互联网上，使其成为恶意行为者攻击的热门地点。大多数暴露的实例位于美国，其次是越南、荷兰、台湾和澳大利亚。

DrayTek 路由器
在负责任地披露之后，DrayTek发布了针对所有已发现缺陷的补丁，并且还在 11 款停产 (EoL) 型号中解决了最高等级的漏洞。

Forescout 表示：“要完全防范新漏洞，需要修补运行受影响软件的设备。如果路由器上启用了远程访问，请在不需要时禁用它。如果可能，请使用访问控制列表 (ACL) 和双因素身份验证 (2FA)。

目前，澳大利亚、加拿大、德国、日本、荷兰、新西兰、韩国、英国和美国的网络安全机构已为关键基础设施组织发布了联合指导，以帮助维护安全、可靠的运营技术 (OT) 环境。

该文件名为“运营技术网络安全原则”，概述了六条基本规则 -
安全至关重要
了解业务至关重要
OT 数据极其宝贵，需要得到保护
将 OT 与所有其他网络进行分段和隔离
供应链必须安全
人员对于 OT 网络安全至关重要

该机构表示：“快速筛选决策以识别那些影响 OT 安全的决策，将有助于在设计、实施和管理 OT 环境时做出稳健、明智和全面的决策，从而促进安全性和业务连续性。”