IOT安全｜路由器漏洞分类

在过去的几年里，针对嵌入式设备的黑客攻击陆续进入人们的视线。2012年，黑客攻击了巴西的450万台DSL路由器，植入了恶意软件DNS Changer用以恶意劫持。2013年，安全网站也报道了一种针对嵌入式设备的新型蠕虫。此外，针对嵌入式设备攻击的黑客工具也逐步完善。

0x00 路由器密码破解漏洞

很多家用路由器都具有无线功能，开启Wi-Fi功能以后，电脑、手机等支持无线功能的设备可以通过密码认证的方式连接到路由器上网。据报告显示，99.2%的家用路由器用于给自己的路由器设置了Wi-Fi密码，没有设置密码的用户占比仅为0.8%。虽然大多数用户给路由器设置了密码，但他们仍有很多不良习惯。常见的Wi-Fi密码设置不良习惯包括：简单的数字组合；电话号码；生日等容易暴力破解或猜测的密码。

目前Wi-Fi最常见的加密认证方式有3中，分别是WPA、WPA2、WEP。当用户使用WPE一键加密功能时，攻击者最多只需实验11000次即可登录Wi-Fi。

密码被破解后，攻击者可以接入破解的网络上网，占用带宽，并可以继续进行路由器管理页面登录密码的破解，获取路由器最高管理权限等。

0x01 路由器web漏洞

家用路由器一般都带有web管理服务，使用者可以通过web管理界面进行路由器的管理和配置，如图所示：

SQL注入、命令执行、CSRF、XSS等针对web方面的攻击，不仅可以用在针对网站的攻击中，同样可以用在针对路由器的攻击中。

几乎所有的SOHO路由器都容易收到CSRF攻击。无线路由器有两个重要的密码：一个是Wi-Fi密码，主要是为了防止他人“蹭网”；另一个是路由器管理密码，主要是对路由器上网账号、Wi-Fi密码、DNS、联网设备进行管理设置。用户修改或重设路由器管理账号和密码的概率相当低，而CSRF漏洞正是利用这一点，通过认证绕过漏洞、弱密码、或者默认路由器管理密码登录，使攻击者可以像正常用户一样访问和修改路由器的任何设置。

控制路由器管理权限后，攻击者可以将用户访问正常网站的请求导向恶意站点、劫持用户流量、推送广告，甚至可以制作一个和被攻击网站一模一样的站点进行“钓鱼”，诱使用户输入支付密码，获取用户的网银账号、密码等信息。

0x02 路由器后门漏洞

根据CNCERT发布的《2013年我国互联网网络安全态势综述》显示，经CNVD分析验证，D-Link、Cisco、Linksys、Netgear、Tenda等多家厂商的路由器产品存在后门，黑客可由此直接控制路由器，进一步发起DNS劫持、窃取信息、网络钓鱼等攻击，直接威胁用户网上交易和数据存储的安全。

这里所谓的后门，并不是指黑客攻击路由器以后为了实现长久控制而留下的后门，而是指开发软件的程序员为了日后调试和检测方便，在软件中设置的一个超级管理权限。一般情况下，这个超级管理权限不容易被发现，而一旦被安全研究人员发现并公布，就意味着攻击者可以直接对路由器进行远程控制。

路由器是所有上网流量的管控设备，是网络的公共出口。路由器被黑客控制，意味着与网络有关的所有应用都可能被黑客控制。路由器带有后门，最主要的原因在于路由器厂商对安全问题重视不够。

0x03 路由器溢出漏洞

缓冲区溢出是一种高级攻击手段，也是一种常见且危险的漏洞，存在于各种操作系统和应用软件中。缓冲区溢出的利用攻击，常见表现为程序运行失败、系统假死、重新启动等。而更为严重的是，黑客可以利用它执行非授权指令，进而取得系统特权，从而进行各种非法操作。

路由器是一种嵌入式设备，可以看作一台小型计算机，在路由器上运行的程序会因为存在缓冲区溢出漏洞而遭到黑客攻击。黑客可以通过分析路由器系统及其允许的服务程序，进行大量的分析及模糊测试，发现缓冲区溢出漏洞，并利用其实现对路由器的远程控制。一旦得到路由器的控制权限，黑客可以修改路由器的任何配置信息，进行流量拦截和篡改，推送广告，甚至盗取用户重要信息等。

本文摘选自：《揭秘家用路由器0day漏洞挖掘技术》

原文始发于微信公众号（白帽子）：IOT安全｜路由器漏洞分类