免责声明
0x01 前言
0x02 厂商信息
0x03 漏洞简介
Edimax 多款路由器设备和WiFi拓展器存XSS 脚本拼接攻击和 telnet 硬编码后门漏洞。攻击者可以远程控制设备。
0x04 影响范围
其他存在漏洞的设备和固件
固件下载地址:https://www.edimax.com/edimax/merchandise/merchandise_list/data/edimax/global/wireless_routers/
设备名称:BR-6478AC V2 Edimax AC1200 Gigabit Dual-Band Wi-Fi Router固件版本:BR6478AC_V2_1.18 (2020-8-20) 固件无法模拟设备名称:BR-6208AC V2 AC750 Dual-Band Wi-Fi Router with VPN, Access Point, Range Extender, Wi-Fi Bridge & WISP固件版本:BR-6208AC_V2_1.03 (2018-04-03)设备名称:Gemini RE11 AC1200 Dual-Band Home Wi-Fi Roaming Kit, Wi-Fi Extender/Access Point/Wi-Fi Bridge固件版本:RE11_1.08 (2019-02-12)设备名称:RE11S AC1200 Dual-Band Home Roaming Wi-Fi Upgrade Extender固件版本:RE11_1.08 (2019-02-12)设备名称:EW-7438AC Smart AC750 Dual-Band Wi-Fi Extender/Access Point/Wi-Fi Bridge固件版本:EW7438AC_v1.09(2020-07-14)(无法固件模拟)设备名称:BR-6228nS V3 5-in-1 N150 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP固件版本:BR6228NSv3_1.15 (2015-12-29)设备名称:BR-6228nS V2 N150 Multi-Function Wi-Fi Router Three Essential Networking Tools in One固件版本:BR6228NSv2_v1.22 (2015-10-12)设备名称:BR-6428nS V4 5-in-1 N300 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP固件版本:BR-6428NS_v4_1.10(2017-06-14)设备名称:BR-6428nS V2 N300 Multi-Function Wi-Fi Router Three Essential Networking Tools in One固件版本:BR6428NSv2_v1.16(2015-10-12)设备名称:BR-6428nS V3 5-in-1 N300 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP固件版本:BR6428NSv3_1.20 (2018-11-09)
0x04 固件模拟
0x05 Edimax XSS拼接攻击
1) 漏洞描述
在设置设备的WiFi密码的输入框中,存在Xss 脚本攻击,在输入xss 脚本之后,设备的无线设置界面出现无法恢复的错误,并且设备在重新启动之后,依旧无法恢复,需要重置设备才行。
3) 漏洞挖掘过程
这个漏洞其实有点鸡肋,因为需要登录后才能触发,但是通过拼接XSS代码,让设备的页面紊乱,导致用户无法正常使用,只有恢复出厂设置才能。这种现象在很多的物联网设备中都存在这样的风险,我并不理解为什么厂商在一些输入表单的框中不对输入的特殊字符进行过滤,做到这一点对开发来说难度并不高。其原理其实很简单,在表单输入xss的一段代码,服务端会把这段代码保存在设备的一些配置中,比如nvram 的key-value 。然后在设备访问这个表单的时候,又从nvram 中读取导致设备页面出现问题。
<script>alert("1")</script>
注意:虽然漏洞并不高级,但不建议在公网的资产进行测试,因为会影响别人对设备的使用,最好是模拟固件中进行测试。
0x06 telnet 硬编码漏洞
1) 漏洞描述
edimax 的多款路由器的Telnet服务存在未经身份验证的远程攻击者完全控制具有高权限的漏洞,存在此漏洞是因为设备固件中具有默认的telnet的硬编码,并且用户无法更改此密码,攻击者可以通过默认密码连接受影响的设备,可以对设备实现完全控制。
2) 漏洞挖掘过程
漏洞验证固件型号:BR6428NSv3_1.20。在嵌入式设备中,硬编码的问题无处不在,因此在分析固件的时候,不管是在文件系统中的一些启动脚本,配置文件,或者是可执行文件中,都可以去着重的注意一些硬编码的问题,这些硬编码的问题可能会造成一些危害。
固件分析
设备端口扫描
3) 其他固件分析
设备名称:BR-6478AC V2 Edimax AC1200 Gigabit Dual-Band Wi-Fi Router固件版本:BR6478AC_V2_1.18 (2020-8-20)
设备名称:BR-6208AC V2 AC750 Dual-Band Wi-Fi Router with VPN, Access Point, Range Extender, Wi-Fi Bridge & WISP固件版本:BR-6208AC_V2_1.03 (2018-04-03)
设备名称:Gemini RE11 AC1200 Dual-Band Home Wi-Fi Roaming Kit, Wi-Fi Extender/Access Point/Wi-Fi Bridge固件版本:RE11_1.08 (2019-02-12)
设备名称:RE11S AC1200 Dual-Band Home Roaming Wi-Fi Upgrade Extender固件版本:RE11_1.08 (2019-02-12) 固件和 RE11一样设备名称:EW-7438AC Smart AC750 Dual-Band Wi-Fi Extender/Access Point/Wi-Fi Bridge固件版本:EW7438AC_v1.09(2020-07-14)
设备名称:BR-6228nS V3 5-in-1 N150 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP固件版本:BR6228NSv3_1.15 (2015-12-29)设备名称:BR-6228nS V2 N150 Multi-Function Wi-Fi Router Three Essential Networking Tools in One固件版本:BR6228NSv2_v1.22 (2015-10-12)设备名称:BR-6428nS V4 5-in-1 N300 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP固件版本:BR-6428NS_v4_1.10(2017-06-14)设备名称:BR-6428nS V2 N300 Multi-Function Wi-Fi Router Three Essential Networking Tools in One固件版本:BR6428NSv2_v1.16(2015-10-12)设备名称:BR-6428nS V3 5-in-1 N300 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP固件版本:BR6428NSv3_1.20 (2018-11-09)
0x07 结尾
原文始发于微信公众号(Hack All):入门 IOT 漏洞挖掘之有手就行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论