思科Talos团队最近在为Synology路由器提供电源的软件中发现了多个远程漏洞。这些漏洞存在于Synology Router Manager（SRM）（一种用于Synology路由器的基于Linux的操作系统）和QuickConnect（SRM中的一项功能）中，该功能允许用户远程连接其路由器。攻击者可以利用这些漏洞执行一系列恶意操作，包括在设备上执行远程代码，暴漏与受害者网络有关的敏感信息以及与连接到同一网络的其他设备进行通信。

目前，思科Talos团队与Synology已经合作解决了这些漏洞，并为受影响的客户提供了更新。其中一个漏洞也影响了Qualcomm LBD服务，为此Qualcomm也发布了更新。

尽管这篇文章的重点是研究人员进行过研究的SRM，但Synology告知研究人员DSM也受到了以下漏洞的影响：

漏洞介绍

研究人员发现了多个漏洞，这些漏洞使研究人员能够在路由器中获得不受限制的root权限。此外，研究人员还发现了可以与使用QuickConnect功能的任何路由器进行远程通信，并将权限提升为root。

另外，为了理解以下漏洞之间的相互关系，有必要讨论一下QuickConnect。正常情况下如果你想远程管理路由器，可以使web GUI端口从广域网访问接口,也可选使用ddn服务(如果你的网络连接有动态IP地址)，以便只需使用你的DDNS主机访问Web GUI即远程访问路由器。QuickConnect可以避免所有这些情况，并将路由器置入QuickConnect VPN内，通过此通道将Web GUI暴漏给外部URL，如“http://quickconnect.to/quickconnectid”，当QuickConnect服务初始设置时，选择“quickconnectid”。

攻击者可能采取的不同方法来获取根权限，研究人员假设攻击者可以从三个不同的位置发起攻击：

Same subnet：攻击者位于路由器管理的LAN中。就像在传统的家庭设置中一样，攻击者位于路由器的“后面”。

QuickConnect VPN：攻击者能够连接到QuickConnect VPN。这可以通过购买路由器并设置QuickConnect帐户来完成。有了一组凭据后，就不再需要路由器，可以通过手动使用openvpn来执行连接。

MITM：攻击者能够在路由器的WAN接口与互联网上的目标主机之间的路径发起中间人攻击。这可能是路径中的任何其他路由器（例如ISP）、一个具有DNS攻击能力的攻击者或一个受感染的目标主机等。

请注意，大多数这些漏洞都使攻击者可以在Web界面上获得管理权限。但是，管理员可以启用ssh并以root用户身份登录设备，因此在Web界面中成为管理员等同于拥有不受限制的root权限。

如果攻击者在同一子网中，则攻击者可以通过两种方式获得root权限：

TALOS-2020-1065：高通公司lbd中的漏洞，该服务可通过端口7786和7787上的局域网访问，该服务无需身份验证即可直接以root用户身份执行Shell命令。

TALOS-2020-1086和TALOS-2020-1087：TALOS-2020-1086显示Web界面的会话cookie缺少“httpOnly”标志，该标志允许通过JavaScript读取管理员的cookie。TALOS-2020-1087尚未发布，可以与TALOS-2020-1086结合使用以获取管理员的访问权限，进而获得root权限。

如果攻击者能够在WAN连接中处于中间位置，则攻击者可以通过以下三种方法获得根：

TALOS-2020-1061：此漏洞影响路由器的QuickConnect VPN连接，可用于强制将任何HTTPS连接尝试降级为HTTP。反过来，这使攻击者可以窃取Web界面的会话cookie。Cookie将在路由器端和管理员浏览器端以纯文本格式发送（由于缺少VPN密码）。

TALOS-2020-1059和TALOS-2020-1060：当用户试图通过QuickConnect连接到他们的路由器时，这两个漏洞描述了在服务器端发生的从HTTPS到HTTP的降级。当连接到QuickConnect时，会发生一系列重定向，但是其中一个重定向是强制通过HTTP进行的（即使用户通过HTTPS启动了请求）。由于未设置“安全”标志，攻击者可以被动地嗅探连接并窃取管理员会话cookie。

TALOS-2020-1058：SRM使用openvpn的修改版来建立QuickConnect通道，并添加了--syno-no-verify选项，该选项使它无需进行ssl验证即可进行连接。尽管有这个名称，但利用此漏洞仍需花费很多时间，因此最好阅读本文以获取详细信息。最终，可以利用它来窃取VPN凭据并复制伪造的Web用户界面，该界面又可以用来窃取管理员凭据。

从示意图中可以看到，研究人员讨论的最后一个漏洞（TALOS-2020-1058）也可以用作QuickConnect VPN的入口点。请注意，这是一条链的入口，允许攻击者无需身份验证即可远程获得连接到QuickConnect VPN的任何路由器的root权限。

实际上，由于TALOS-2020-1058允许窃取VPN凭据，因此攻击者可以简单地手动使用openvpn连接到VPN。世界各地有多个路由器连接到同一个QuickConnect VPN，但是每个路由器都在其自己的子网中接收IP，并且通常无法与其他子网通信。

此时，TALOS-2020-1064表明子网并没有逻辑分割，实际上，攻击者在连接并设置了openvpn的IP地址后，可以将其网络掩码更改为更大的掩码，从而允许与连接到同一VPN的任何其他路由器进行通信。

通常，攻击者还可以从外部枚举路由器，例如通过猜测公共URL（“http://quickconnect.to/quickconnectid”）中的QuickConnect ID。显然，枚举较小子网中的IP更快，并可以给出更多结果。

在此阶段，攻击者处于“与QuickConnect VPN中的任何路由器通信”状态，并且可以访问任何路由器的Web界面。在TALOS-2020-1066中，设备创建的VPN接口是未经过过滤的，因此路由器中存在的任何服务（甚至那些没有通过LAN公开的服务）都在VPN内部公开。这相当于与目标路由器处在同一子网中，因此可以利用TALOS-2020-1065、TALOS-2020-1086、TALOS-2020-1087等漏洞来获取root权限。

研究人员已确定了两个附加漏洞（TALOS-2020-1051和TALOS-2020-1071），不过它们不是攻击链中的一部分。

Synology SRM DHCP监视器主机名解析拒绝服务漏洞（TALOS-2020-1051 / CVE-2019-11823）

Synology SRM 1.2.3 MR2200ac 8017和1.2.3 RT2600ac 8017的DHCP监视器的主机名解析功能中存在一个可利用的拒绝服务漏洞，特殊设计的网络请求可能会导致越权读取，从而导致拒绝服务，攻击者可以发送恶意数据包来触发此漏洞，你可以点击此处阅读完整的漏洞信息。

Synology SRM QuickConnect身份验证信息泄漏漏洞（TALOS-2020-1058 / CVE-2020-27649）

AppArmor的Synology DSM 6.2.3 25426 DS120j的synosearchagent配置文件中存在配置漏洞。可以加载特殊设计内核模块，从而绕过AppArmor的限制，攻击者可以使用insmod触发此漏洞，你可以点击此处阅读完整的漏洞信息。

Synology DSM synoagent注册的服务器查找程序越权写入漏洞（TALOS-2020-1059 / CVE-2020-27651）

Synology DSM 6.2.3 25426 DS120j的synoagent注册服务器查找程序功能中存在越权写入漏洞，特殊设计的HTTP响应可能导致远程执行代码，攻击者可以通过中间人连接来触发此漏洞，你可以点击此处阅读完整的漏洞信息。

Synology QuickConnect服务器HTTP重定向信息泄漏漏洞（TALOS-2020-1060）

Synology QuickConnect服务器的HTTP重定向功能中存在一个可利用的信息泄漏漏洞，攻击者可以模拟远程QuickConnect服务器来模拟远程设备，从而窃取设备的凭据。攻击者可以执行中间人攻击来触发此漏洞。由于此漏洞存在于Synology的基础架构上，因此未分配给CVE，你可以点击此处阅读完整的漏洞信息。

Synology SRM QuickConnect HTTP连接信息泄漏漏洞（TALOS-2020-1061 / CVE-2020-27653）

Synology SRM 1.2.3 RT2600ac 8017-5的QuickConnect HTTP连接功能中存在一个可利用的信息泄漏漏洞。攻击者可以模拟远程VPN端点来将HTTPS连接降级为HTTP，从而允许攻击者捕获Web界面通信并进而窃取会话cookie。攻击者可以执行中间人攻击来触发此漏洞，你可以点击此处阅读完整的漏洞信息。

Synology QuickConnect服务器网络配置漏洞漏洞（TALOS-2020-1064）

Synology QuickConnect的VPN服务器中存在一个可利用的网络配置漏洞，服务器没有强制执行正确的子网划分，从而使攻击者可以访问连接到VPN的任何设备。为了滥用这个漏洞，攻击者需要改变他们的子网。由于此漏洞存在于Synology的基础架构上，因此未分配给CVE，你可以点击此处阅读完整的漏洞信息。

Synology SRM lbd服务命令执行漏洞（TALOS-2020-1065 / CVE-2020-27654）

Synology SRM 1.2.3 RT2600ac 8017-5中的Qualcomm lbd 1.1的lbd服务功能中存在一个可利用的命令执行漏洞。特殊设计的调试命令可以覆盖内容可控的任意文件，从而导致远程代码执行，攻击者可以发送未经身份验证的消息来触发此漏洞，你可以点击此处阅读完整的漏洞信息。

Synology SRM QuickConnect iptables网络配置漏洞（TALOS-2020-1066 / CVE-2020-27655）

Synology SRM 1.2.3 RT2600ac 8017-5的QuickConnect iptables功能中存在一个可利用的网络配置错误漏洞。来自QuickConnect VPN接口的数据包不经过过滤，从而导致与设备中运行的任何网络服务的通信不受限制，你可以点击此处阅读完整的漏洞信息。

Synology SRM dnsExit DDNS提供者信息泄漏漏洞（TALOS-2020-1071 / CVE-2020-27657）

Synology SRM 1.2.3 RT2600ac 8017-5的dnsExit DDNS提供程序功能中存在一个信息泄漏漏洞，一种特别设计的中间人攻击可以窃取dnsExit凭证来接管注册的子域名。攻击者可以模拟远程的dnsExit服务器来触发此漏洞，你可以点击此处阅读完整的漏洞信息。

Synology SRM Web界面会话cookie HttpOnly标志信息泄漏漏洞（TALOS-2020-1086 / CVE-2020-27658）

Synology SRM 1.2.3 RT2600ac 8017-5的Web界面会话cookie功能中存在一个可利用的信息泄漏漏洞，会话cookie错过了HttpOnly标志，从而使其可以通过JavaScript进行访问，从而使攻击者可以执行XSS攻击并窃取会话cookie，你可以点击此处阅读完整的漏洞信息。

目前，Talos团队测试并确认TALOS-2020-1051，TALOS-2020-1158，TALOS-2020-1159，TALOS-2020-1061，TALOS-2020-1065，TALOS-2020-1066，TALOS-2020-1071和TALOS-2020 -1086对Synology SRM 1.2.3 RT2600ac 8017-5有影响。TALOS-2020-1065也影响Qualcomm LBD 1.1版， TALOS-2020-1060和TALOS-2020-1064影响Synology QuickConnect服务器。

Synology则确认了TALOS-2020-1058，TALOS-2020-1059，TALOS-2020-1061，TALOS-2020-1071影响Synology DSM 6.2.3 25426版本。

参考及来源：https://blog.talosintelligence.com/2020/10/vulnerability-spotlight-multiple.html