多个型号蚂蚁矿机存在远程任意命令执行漏洞,其CVE编号为CVE-2018-11220。该漏洞可以使攻击者提升矿机权限,完全接管矿机系统,执行任意系统命令。
蚂蚁矿机系列是比特大陆推出的专门用于挖矿的设备。据FOFA系统显示,目前全球对外可访问的蚂蚁矿机共有11686台。其中美国使用最多,其次是俄罗斯,中国的使用量排在第六位。中国地区中数量最多的是北京,共有208台。
蚂蚁矿机全球网络资产分布情况(仅为分布情况,非漏洞影响情况)
蚂蚁矿机中国网络资产分布情况(仅为分布情况,非漏洞影响情况)
漏洞原理与危害
该漏洞存在于恢复备份功能。蚂蚁矿机的web系统是通过基于bash脚本的web cgi开发,通过白帽汇安全研究院分析发现,在恢复备份文件解压缩后会调用执行备份文件中的restoreConfig.sh
文件。这里我们可以通过修改备份文件中的restoreConfig.sh
的命令,来达到任意执行命令的目的,最终造成整个系统被接管。
漏洞相关源码截图
该漏洞需要登录系统后才可利用,默认的授权账户为root:root。登录系统后,点击Upgrade
,通过上传构造好的带有修改过的restoreConfig.sh
文件的.tar包来实现漏洞利用。其中tar包可以通过点击该页面中的Generate archive
生成,下载至本地后替换其中的restoreConfig.sh
文件。
漏洞影响
目前该漏洞暂无法确定影响。
漏洞POC
将要执行的命令写入至restoreConfig.sh
,并将改文件创建一个.tar格式的压缩包。登录进入系统,进入Upgrade
界面,选择构建好的.tar包文件,点击Upload archive
即可执行成功。
CVE编号
CVE-2018-11220
修复建议
1、加强框架密码强度,切记不要使用默认口令,密码长度最好不少于8位,且包含大小写字母、数字、特殊符号。
白帽汇会持续对该漏洞进行跟进。后续可以关注本链接。
参考
[1] https://fofa.so/result?qbase64=YXBwPSJhbnRtaW5lciI%3D
[2] https://www.exploit-db.com/exploits/44779/