2017年10月19日，物联网世界引来了一个新的敌人——被称为“死神”（Reaper）的巨大僵尸网络。

        Reaper僵尸网络是冷酷的，比臭名昭著的Mirai僵尸网络更加可怕。根据360网络安全研究院提供的数据，Reaper已经感染了大约3万台智能设备，还有大约200万台处于易感染状态。

         Mirai利用弱口令实现攻击，而Reaper利用物联网设备的漏洞，有更强的攻击性。很多厂商的路由器和摄像头都被利用，包括D-link（路由器）、Wi-Fi CAM（摄像头）、JAWS（摄像头）、Netgear（路由器）、Linksys（路由器）、AVTECH（摄像头）等。同时，如果物联网设备没有及时更新，僵尸网络会不断扩张，Reaper的攻击性会越来越强。

        僵尸网络Reaper源自于某个开发人员无意中遗留在设备中的安全问题。即使攻击者没有获取新的知识，也不热衷于检测物联网设备，他仍然能很容易的利用这些漏洞。利用由多个非关键性漏洞组成的漏洞链，可能会导致某个设备整体的损坏。

        绝大部分漏洞都是Web应用和资源的常见漏洞，漏洞的弱点会首先被物联网设备的研究人员发现，包括赏金猎人或安全分析师。

        虽然web资源拥有者可以轻松而快速的修复漏洞并更新资源，但是物联网设备却不那么简单。即使开发者发布了一个对应的补丁，物联网设备拥有者很可能不会及时更新。

                   Vulnerabilities in Linksys E1500/E2500

                   Vulnerabilities in D-Link DIR-600 and DIR-300 (rev B)

图1. 检查D-link路由器模型的代码段

        这些漏洞的大多数已经被开发者填补，但如果设备的固件没有及时更新，漏洞仍可以被利用。

DVR漏洞：弱口令请求、在没有验证和完整性检查的情况下重新标记cookie、错误的访问控制、外部可访问目录中的命令shell。

Camera漏洞：弱口令请求、跨站请求伪造、信息泄露、错误的输入验证、许可，特权和访问控制、操作系统命令注入。

Router漏洞：错误的输入验证、弱口令请求、信息泄露、跨站脚本

        在嵌入式研究领域中，漏洞根据CWE（译者注：通用弱点枚举，一个软件社区项目）来分类。下图显示了有相同类型漏洞的设备之间的联系。

        观察上图中漏洞的类型，很明显它们都属于应用程序漏洞。换句话说，被使用的安全开发生命周期（译者注：SDL，微软提出的从安全角度指导软件开发过程的管理模式），要么不够充分，要么根本没有实现，这导致僵尸网络如雨后春笋般涌现。此外，即使开发人员引入可信引导和多重加密机制，应用安全的问题也不能解决。

图2. Reaper样例中利用SMTP协议（发送邮件）的Lua脚本

        另一个例子是Satori——一个借用了Mirai源代码的僵尸网络。区别在于Satori使用了改进的分配方法，还利用了华为HG532路由器上的一个0day漏洞。据黑客新闻报道，大约20万台设备被感染。需要指出的是，漏洞利用代码和Mirai源代码都是公开的。

        很明显，创建这样一个僵尸网络需要：找到一个在物联网设备中大范围存在的0day漏洞，或在1day漏洞的基础上找到新的漏洞。由于大多数设备的应用安全性都很差，攻击者可以很轻松的找到新的0day漏洞并添加到已存在的僵尸网络上。如果开发人员不提高应用安全性，那么成千上万的设备被感染的消息，会以惊人的规律出现在新闻头条上。

        综上所述，可以绘制出物联网僵尸网络的发展图：

        另一个需要注意的是：Mirai最初的目的只是攻击对手的Minecraft服务器。可以设想，如果是更有技术和经验的团队开发了这样的僵尸网络，将会发生什么。

        终端用户怎样保护自己设备的安全呢？

                1.购买能够自动更新固件的设备；

                2.定期更新设备固件；

                3.对新的物联网安全威胁保持关注。

        开发人员如何保护设备的安全呢？

                1.开发安全的应用程序；

                2.及时修复设备中漏洞并发布安全更新；

                3.在设备上自动安装更新，或尽可能简化终端用户的安装过程。

        Reaper可利用的漏洞

       1. D-Link 850L漏洞：

               通过WAN和LAN实现远程代码执行（CWE-284）

               通过WAN和LAN实现远程未身份验证的信息泄露（CWE-200）

               通过LAN实现远程未授权程序以管理员权限运行（CWE-284）

       2.无线IP摄像头（P2P）WIFICAM漏洞：

               通过远程登录访问管理员账户（CWE-798）

               RSA证书和私钥存储在固件中（CWE-321）

               以管理员身份实现远程代码执行（CWE-78）

               利用HTTP服务器漏洞，向系统和URL提交空的登录参数来绕过验证（CWE-693）

               将HTTP服务器漏洞和远程代码执行相结合，使攻击者可以在通过本地或网络进行身份认证之前，远程执行代码（CWE-284，CWE-78）

               通过RTSP服务器，实现无需验证的数据流监控（CWE-287）

               利用tcpdump工具，实现流量监控（CWE-200）

        3.DVR漏洞：

               使用默认登录密码，用户名是admin，密码是空白（CWE-521）

               没有cookie内容验证，使攻击者绕过web身份验证（CWE-565）

               攻击者可以打开uboot控制台并将设备设置为单用户模式，绕过身份认证实现命令执行（CWE-284）

               通过使用内置命令提示shell，未认证身份的攻击者可以开启远程登录（CWE-553）

        4.Netgear路由器漏洞：

               绕过身份认证，利用命令提示符实现远程代码执行（CWE-78）

        5.Vacron监控摄像头漏洞：

              在board.cgi中没有对输入命令进行过滤，可以运行cmd并执行任意命令（CWE-78）

        6.Netgear DGN1000和DGN2200 v1路由器漏洞

               跳过包含currentset.html的url的验证，利用该漏洞绕过验证机制，在设备上以管理员特权执行任意命令（CWE-20）

        7. Linksys E1500/E2500路由器漏洞：

                不检查ping_size参数。实现输入并执行任意shell命令（CWE-78）
                攻击者可以在不知情的情况下更改当前密码（CWE-620）

        8. D-Link DIR-600和DIR-300漏洞：

                 在命令提示符中，没有访问限制和输入验证，允许攻击者输入和执行任意命令。例如，运行telnetd命令 （CWE-78）
                 攻击者可以在不知道密码的情况下更改密码（CWE-620）
                 密码没有散列并存储在纯文本中(CWE-256)
                 可以绕过身份验证，对设备模型名称、固件版本、语言和MAC地址以及Linux内核的信息实现访问(CWE-200)
                 获取有关操作系统及其位置的信息(CWE-200)
                 在SSID参数中没有对输入命令的验证。 攻击者可绕过身份验证，通过访问version.txt file 实现代码运行。

        9. Avtech监控摄像头漏洞：

                  密码存储在一个文本文件中。如果可以访问设备，就可以访问密码(CWE-256)
                  Web接口不能抵御CSRF攻击(CWE-352)
                  CGI脚本包含在/cgi-bin/nobody文件夹中(CWE-200)
                  未经授权的SSRF安装在DVR上（授予连接到本地网络的IP摄像头）。通过修改参数ip、端口和queryb64str的值，攻击者可以通过DVR设备执行任意的HTTP            请求，而无需经过身份验证(CWE-918)
                  未经授权在DVR设备上输入命令。 Search.cgi不过滤接收的参数，实现远程代码执行 (CWE-78)

                  在URL请求中添加 cab 或/nobody 实现绕过身份认证(CWE-287)
                  从目录的根目录中非法加载文件(CWE-22)
                  输入“login=quick”参数(CWE-693)
                  exefile参数未被检查，攻击者可以使用管理员特权执行任意的系统命令(CWE-78)
                 没有检查DoShellCmd函数参数，攻击者可以使用管理员特权执行任意的系统命令(CWE-78)
                 PwdGrp.cgi中使用用户名、密码和一个新请求的组， 在没有检查的情况下，在系统命令中创建或修改用户 (CWE-78) 

        原文链接：https://embedi.com/blog/grim-iot-reaper-1-and-0-day-vulnerabilities-at-the-service-of-botnets/

        本文由 看雪翻译小组 Green奇 编译