Internet路由器是連接我們工作,服務和休閒的無所不在的設備,已經成為每個家庭,企業和公共場所不可或缺的一部分。儘管它們對於我們與世界的連接至關重要,但它們卻是我們每天使用的最不安全的設備之一。
本文將分析TP-Link Archer C5(v4)路由器中發現的固件漏洞。這是一個零日漏洞,以前沒有報告過,並且可能影響家庭和企業環境。如果利用此路由器漏洞,則遠程攻擊者可以通過局域網(LAN)上的Telnet來控制路由器的配置,並通過LAN或廣域網(WAN)連接到文件傳輸協議(FTP)服務器。
遠程攻擊者可以通過局域網(LAN)上的Telnet來控制路由器的配置,並通過LAN或廣域網(WAN)連接到文件傳輸協議(FTP)服務器。該缺陷可以授予未經授權的第三方使用管理員特權訪問路由器,而這是所有用戶在該設備上的默認設置,而無需進行適當的身份驗證。在使用此類路由器啟用訪客Wi-Fi的商業網絡上,風險更大。如果將其放置在企業網絡上,則受損的路由器可能成為攻擊者的切入點,並且成為偵察和橫向移動策略中樞轉的場所。
密碼溢出問題
在深入研究如何發現此問題之前,描述此缺陷的簡短方法是使用戶密碼無效的易受攻擊的HTTP請求。在各種各樣的溢出問題中,當將比預期的字符串長度短的字符串作為用戶密碼發送時,密碼值會失真為一些非ASCII字節。
但是,如果字符串太長,密碼將完全無效,由空值代替。此TP-Link設備僅具有一種用戶類型(具有root特權的admin),並且所有進程均由用戶在此訪問級別下運行,這可以使攻擊者以admin的身份操作並接管設備。
觸發路由器漏洞
當我們調查引發脆弱情況的原因時,我們可以看到,只需發送正確的請求即可獲得對設備的訪問權限。請參閱圖1,以直觀地看到我們用來舉例說明此觸發器的HTTP請求。
我們這裡有兩種類型的請求:可以說是安全的和易受攻擊的。對於對HTML內容的安全請求,必須驗證兩個參數:TokenID和JSESSIONID。但是,此處的通用網關接口(CGI)驗證僅基於引用者的HTTP標頭。如果它與IP地址或與tplinkwifi.net關聯的域匹配,則路由器的主要服務HTTPD會將其識別為有效。
圖1:易受攻擊的HTTP POST請求未驗證所需的參數
如果該引薦來源網址已從標頭中刪除,則請求將返回"禁止訪問"響應。
圖2:從請求中移除Reffer頭— HTTP響應返回" 403 Forbidden"
此問題以相同的方式影響HTTP POST和GET請求,當字符串長度超過允許的字節數時,將取消管理員密碼。
圖3:HTTP GET請求同樣會使密碼無效
分析固件
此時,看到這些請求使密碼無效後,我們想分析一下設備的固件。由於固件並不總是在供應商的網站上可用,因此我們不得不從設備的閃存芯片中提取固件。
有了存儲芯片的版本號,可以更輕鬆地在線查找有關它的更多信息,並且我們能夠使用芯片夾和二進制文件分析工具BinWalk直接從芯片中提取固件。
圖4:使用BinWalk提取的路由器固件
請注意,在提取期間,有一個RSA私鑰存儲在內存中。訪問Web服務時,此密鑰用於加密和解密用戶密碼。
解壓縮固件後,我們發現登錄數據存儲在rootfs / etc文件夾中。默認的用戶名和密碼非常弱。保留默認組合可以允許訪問FTP服務器並授予控制檯訪問權限。如此弱的密碼有很多訪問權限,幾乎任何人都可以猜到,而且不幸的是,它也是傳播諸如Mirai的殭屍網絡惡意軟件的自動攻擊的源頭。
圖5:對路由器的根訪問
通過root級訪問,我們現在可以獲得對二進制文件的一些控制。我們也有TFTP,因此我們下載了MIPS gdbServer,這是一個用於Unix系統的控制程序,允許操作員從另一個系統遠程調試其他程序。這樣,調試器不需要駐留在同一設備上,只需要我們要調試的可執行文件駐留在目標系統上即可。
我們將此工具與IDA(一種多處理器反彙編程序和調試器)結合使用,以進行靜態和動態分析,因此我們可以找到路由器漏洞的來源,並通過此過程來說明如何在沒有漏洞的情況下找到該漏洞。實際觸發它。
下圖顯示了在IDA上查看的已解析HTTP標頭的相關部分:
圖6:已解析的HTTP標頭顯示了引薦來源網址設置
請注意,此處使用函數strncmp來驗證帶有字符串tplinkwifi.net的Referrer標頭。前面的分支還驗證了IP地址。附加調試器以查看這些詳細信息,確認此確實是可利用的路由器漏洞。
漏洞請求
我們的下一步是檢查當我們使用不同的字符串長度發送易受攻擊的請求時,密碼文件會如何處理。首先,我們嘗試發送一個較短的字符串,只有幾個字節。
圖7:使用較短的密碼字符串發送HTTP GET請求
該短字符串通過並損壞了密碼文件。結果是用戶將無法登錄,攻擊者也將無法登錄。此問題影響Telnet,FTP和Web服務。
圖8:密碼文件被用戶提交的較短字節串破壞
接下來,我們嘗試通過密碼發送超過允許的字符數的密碼。
圖9:通過發送長密碼
這次,密碼完全無效,並且該值現在為空。從那時起,我們僅使用" admin"作為用戶名即可訪問TELNET和FTP,而無需輸入任何密碼,默認情況下,該用戶名是設備上唯一可用的用戶。
圖10:管理員密碼已失效
其他問題
在無需真正身份驗證即可獲得管理員訪問權限後,我們發現該特定設備還允許在WAN上配置FTP。此外,我們可以通過安全的HTTPS連接遠程管理路由器,這也容易受到CGI攻擊。如果被惡意第三方利用,此路由器漏洞的影響可能是有害的。
攻擊者不僅可以獲得特權訪問,而且合法用戶也可以被鎖定,並且不再能夠通過用戶界面登錄Web服務,因為該頁面將不再接受任何密碼(用戶不知道)。在這種情況下,受害者可能無法訪問控制檯,甚至無法訪問外殼程序,從而無法重新建立新密碼。即使有辦法設置新密碼,下一個易受攻擊的LAN / WAN / CGI請求也將再次使密碼無效。因此,唯一的訪問將是通過USB端口連接的FTP文件。
潛在影響的另一個方面是RSA加密密鑰可能會失敗,因為它不是設計用於空密碼值的。
最重要的是,受害者的設備FTP(如果配置為在WAN上使用)和Telnet(僅LAN)可以完全暴露給攻擊者。
安界貫徹人才培養理念,結合專業研發團隊,打造課程內容體系,推進實訓平臺發展,通過一站式成長計劃、推薦就業以及陪護指導的師帶徒服務,為學員的繼續學習和職業發展保駕護航,真正實現和完善網絡安全精英的教練場平臺;即使低學歷也可實現職業發展中的第一個“彎道超車”!安界就是你唯一選擇,趕緊私信我!等你來!
閱讀更多 網絡攻防和我學 的文章
