7月早些时间,研究人员爆出D-link 路由器固件镜像泄露了用来加密专用固件二进制文件的密钥。近日,又有ACE 团队研究人员爆出D-Link路由器的5个严重安全漏洞,攻击者利用这些漏洞可以实现网络入侵。此外,由于部分设备已经不再更新,因此无法修复。
漏洞概述
这些漏洞包括反射型XSS攻击、缓冲区溢出漏洞、认证绕过和任意代码执行,分别是:
CVE-2020-15892
CVE-2020-15892漏洞是基于栈的缓冲区溢出漏洞,漏洞位于ssi 二进制文件中,可能会引发任意命令执行。
CVE-2020-15893
CVE-2020-15893漏洞是位于UPnP中的命令注入漏洞,可以通过伪造的M-SEARCH包来实现命令注入。
CVE-2020-15894
CVE-2020-15894漏洞属于敏感信息泄露漏洞,暴露的管理函数可以实现对敏感信息的非授权访问。
CVE-2020-15895
CVE-2020-15895属于XSS漏洞,由于逃逸值可以引发设备配置页面的反射性XSS漏洞。
CVE-2020-15896
CVE-2020-15896漏洞属于敏感信息泄露/认证绕过后门漏洞,暴露的管理函数可以实现对敏感信息的非授权访问。
有路由器管理页面访问权限的攻击者可以实现以上攻击,即使不知道管理员凭证。在大多数的配置情况下,攻击者需要与受害者路由器处于同一网络中才能访问路由器的web管理接口。
如果远程管理接口被禁用,那么远程攻击者只需要一个到路由器公开IP地址的请求就可以绕过认证接管设备和整个网络。
根据IOT搜索引擎Shodan.io 的数据,有超过55000台D-LINK设备可以远程访问web接口。其中大多数设备都受这些漏洞的影响。
PoC发布
Loginsoft给出的PoC漏洞利用表明滥用这些D-link漏洞非常容易。
认证绕过后门
为了证明CVE-2020-15896漏洞利用,D-Link路由器管理接口运行在192.168.0.1或可公开访问的IP。要访问‘/bsc_lan.php’这样受限制的页面,需要提供路由器的管理员用户名和密码。
在URL中加入GET参数NO_NEED_AUTH=1 和AUTH_GROUP=0 ,就可以作为后门来登陆管理员接口。
完整地访问控制绕过URL类似:
http://192.168.0.1/bsc_lan.php?NO_NEED_AUTH=1&AUTH_GROUP=0
CVE-2020-15896影响D-Link DAP 1522设备1.41和1.42固件版本。
早在2010年、2011年都有研究人员提交相同的漏洞,但是路由器厂商选择不修复这些严重的安全漏洞。
获取用户名和密码哈希值
CVE-2020-15894漏洞利用影响固件版本低于2.06 & 2.06.B09_BETA的Bx 硬件设备,PoC如下:
http://192.168.0.1/getcfg.php?a=%0a_POST_SERVICES%3DDEVICE.ACCOUNT%0aAUTHORIZED_GROUP%3D1
本例中的payload为:“_POST_SERVICES=DEVICE.ACCOUNTAUTHORIZED_GROUP=1”
漏洞利用会返回攻击者一个含有用户名和密码哈希的响应。
远程代码注入
CVE-2020-15893 漏洞利用与执行任意命令的能力相关,攻击者可以通过伪造的M-SEARCH 包通过UPnP 来访问路由器的IP。
UPnP 在DIR-816L 中是默认开启的,端口为1900。攻击者可以注入payload到the SSDP M-SEARCH discover 包的`Search Target` (ST) 域来实现命令注入。
命令注入PoC代码
漏洞影响固件版本低于2.06 & 2.06.B09_BETA版本的Bx硬件。
D-Link响应
D-Link发布了一个含有所有有漏洞的固件版本和硬件设备的列表,参见https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10169
研究人员建议用户尽快升级到最新固件版本。由于一些设备/固件已经不再提供更新,研究人员建议用户购买新的设备来避免相关漏洞的影响。
本文来源于互联网
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论