介紹
2019年9月,我在D-Link Access Point(DAP-1860)上發現了兩個漏洞,分別是命令注入導致的遠程代碼執行和身份驗證繞過。這兩個漏洞能幫助攻擊者在不進行身份驗證的情況下遠程控制設備。如果你的上網設備是從D-Link購買的,並且型號是DAP-1860,請立刻更新固件或聯繫廠商尋求幫助,因為我發現的漏洞影響了當時最新版本的DAP-1860固件。
以下是DAP-1860的Web管理界面:
漏洞細節
CVE-2019-19597
發現者:chung96vn, VinCSS(Vingroup成員)
主題:命令注入導致的遠程代碼執行(無需權限驗證)
當我嘗試瞭解DAP-1860的網頁管理頁面如何進行身份認證時,發現這個設備的uhttpd服務器在用戶發送HNAP請求時出現了問題。當用戶發送HNAP請求時,若需身份認證,uhttpd服務器將檢查HNAP_AUTH請求頭的值。相關代碼如下(用於驗證HNAP_AUTH)。
請注意第243到246行的代碼,就是這裡存在命令注入。普通用戶可以控制HNAP_TIME和SOAPAction的值。在這種情況下,我成功通過HNAP_TIME參數注入了命令。下面是相關請求:
請記住,如果想在不進行身份驗證的情況下發起攻擊,必須繞過某些限制。但在這篇文章中我不能提供相關細節,這是為了D-Link用戶的安全考慮。
CVE-2019-19598
發現者:chung96vn,VinCSS(Vingroup成員)
主題:認證繞過
在報告了上述漏洞後,我後續還發現了DAP-1860的身份認證缺陷。當用戶發送HNAP請求時,服務會將HNAP_AUTH請求頭的值分成兩部分:hnap_code和hnap_timestamp。hnap_timestamp值會和存儲在/var/hnap/timestamp文件(current_timestamp)中的值進行驗證。隨後,hnap_timestamp值會存儲在/var/hnap/timestamp中。通過下面的代碼片段,你可以看到如果hnap_timestamp<=current_timestamp,並且hnap_timestamp>=current_timestamp-9 ,local_3c變量的值被設置為0。
查看下圖中的241行,如果變量local_3c!=1,我們就進入了HNAP_AUTH驗證函數,此時就可以繞過身份驗證並訪問所有HNAP api。
總而言之,為了繞過認證,首先要發送請求來覆蓋服務器的current_timestamp,然後利用hnap_timestamp等於服務器current_timestamp的請求在未經身份驗證的情況下訪問所有的HNAP api。
時間線
2019/09/30:向D-Link報告了DAP-1860的漏洞。
2019/10/02:再次向D-Link報告,D-Link未回覆。
2019/10/02:D-Link回覆郵件,表示漏洞已發送給研發團隊驗證。
2019/10/09:D-Link確認漏洞存在並研發補丁。
2019/10/09:向D-Link報告DAP-1860的其他漏洞。
2019/10/09:D-Link回覆郵件,表示漏洞已發送給研發團隊驗證。
2019/10/09:D-Link確認2個漏洞存在並在研發補丁。
2019/10/09:D-Link發佈安全補丁並公開漏洞。
參考
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10135
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19597
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19598
本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場
來源:https://nosec.org/home/detail/3359.html
原文:https://securityaffairs.co/wordpress/94872/hacking/pathauditor-tool.html
白帽匯從事信息安全,專注於安全大數據、企業威脅情報。
公司產品:FOFA-網絡空間安全搜索引擎、FOEYE-網絡空間檢索系統、NOSEC-安全訊息平臺。
為您提供:網絡空間測繪、企業資產收集、企業威脅情報、應急響應服務。
閱讀更多 NOSEC安全訊息平臺 的文章
