欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

幽灵重现:部分WiMAX路由设备存在认证绕过和后门漏洞

来源:本站整理 作者:佚名 时间:2017-06-13 TAG: 我要投稿

SEC 的安全人员在一些WiMAX 路由器上发现了一个漏洞, 这个漏洞允许攻击者更改路由器上的管理员密码,进而获取对这些漏洞的设备的控制权限。更糟糕的是,如果攻击者控制了这些含有漏洞的路由器,他们就可以对这个漏洞设备背后的网络进行进一步攻击,或者将这些漏洞的设备加入了僵尸网络中,亦或通过这些漏洞设备监听用户信息。 这个漏洞的影响设备厂商包括GreenPacket, 华为, MADA, 中兴通讯,ZyXEL等。其中有些含有漏洞的设备可以通过web访问。 这个漏洞已经报给了CERT/CC (漏洞编号为CVE-2017-3216),CERT也已将此漏洞通告给上述厂商。
更多关于此次漏洞披露的信息和漏洞影响的设备信息,请访问我们的漏洞通告页面(https://sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20170607-0_Various_WiMAX_CPEs_Authentication_Bypass_v10.txt )。
部分WiMAX 路由设备存在认证绕过和后门漏洞
本篇文章将主要讨论针对此次漏洞分析中几个重要的点,当我们的安全人员在研究关于HTTPS 证书和SSH key重用的问题时,意外的发现一组(大约80台)设备使用了一个颁发给MatrixSSL Sample Server Cert的HTTPS证书, 这一组设备中就包括ZyXEL 公司和他的姊妹公司MitraStar研发的WiMAX 网关,我们的安全人员选择了其中的一台进行了一点研究。
WiMAX是一种类似LTE的技术,虽然没有LTE那么地流行,但是,世界上还是有很多的WiMAX设备在使用。
通过我们搜集的大量数据集信息,我们发现很多的WiMAX设备将web访问接口暴露给互联网, 造成这种结果的原因可能是错误的配置,也可能是ISP的粗心。通过web访问接口都是挖掘漏洞的很好的切入点。
像所有的IoT(物联网)的渗透测试一样,我们搞到了一份含有漏洞的WiMAX 设备的固件(感谢ZyXEL 的官网提供给我们 O(∩_∩)O),我们直接上这个问题固件上传到我们的 IoT 分析系统(一个基于云的固件分析系统), 几分钟之后,一份分析报告就出现在我们的眼前。
首先,我们看了一眼固件的文件系统结构。 在/var/www 目录下,我们发现了很多HTML 文件,按照我们的经验,通常这些HTML 文件只是视图模板文件(学过MVC的都知道),一般不会包含业务逻辑。

摘自 IoT 固件自动分析系统分析结果一部分
认证绕过漏洞
我们没有发现传统的CGI脚本,所以,我们推断,web接口的业务逻辑可能内嵌如web server本身,当我们发现web server的执行路径为:/bin/mini_httpd.elf, 我们敏锐地联想到这可能和开源项目mini_httpd 项目有关,但是,接着我们就我发现我们手头的这个mini_httpd和开源的mini_httpd完全不同,也许经过了重大的修改, 首先,我们手头的这个mini_httpd没有任何web 接口业务代码, 但是我们发现有一个函数通过dlopen()库函数从/lib/web_plugin 目录加载库文件。

于是,我们去/lib/web_plugin目录下看了一眼, 发现就只有一个名为libmtk_httpd_plugin.so的动态链接库文件, 在mime_handlers 符号连接处, 有一个用于描述针对不同的MIME 如何处理的结构数组。libmtk_httpd_plugin.so 库中包含了对于http请求的处理函数。

对于每一个接收到的HTTP请求,web server 都会根据上述提到的MIME结构数组找到匹配项,如果匹配ok,则从这个匹配结果中找到相应的请求处理函数并调用之。分析到这里,我们心情都很不错,我们打开IDA pro 神器帮助我们继续分析,根据上述提到的MIME结构数组的特征,我们找到了mime_handlers 符号列表中的入口项:

至此,我们已经非常清晰的明白了web server 中存在哪些URIs可以被解析处理,已经他们是如何被解析处理的, 在上图的mime_handlers 符号列表中的入口项的结构中,我们发现竟然还有一个枚举类型,这个枚举类型标识是否当前用户的请求应该被认证或者不认证(我们称之为AUTH_REQUIRED/UNAUTHENTICATED),我们还发现其中很多的URIs是不需要任何认证的, 这些URIs是非常值得我们去仔细分析的,我们将目标锁定在了 commit2.cgi 上。

这个URL的处理函数将POST请求的参数和值都存在在内置数据库中(key-value 存储形式,也许是存储在NVRAM中),其实这里就是一个漏洞,最简单的利用方式就是通过提交参数为ADMIN_PASSWORD=xxxx (xxx为你要修改后的管理员密码)的POST请求到commit2.cgi的URI, 这样就可以修改管理员的密码,从而可以通过web 界面成功登录,然后就可以进一步进行攻击
从web 界面登录成功之后,我们发现有很多可以利用的功能点(hacker的目的不同,选择的攻击点也不一样),其中有一个功能点可以修改DNS 服务器的配置 (聪明的你可能已经想到这里可以进行钓鱼攻击,通过劫持DNS,进行网银欺诈,或者广告植入), 还有一处可以上传固件,这样攻击者就可以上传一个含有恶意代码的固件,用于监控用户行为,或者充当僵死网络中的一员。
随着分析的深入,我们发现这个含有露的WiMAX 路由器允许SSH 和Telnet登录, 这两个服务引起了我们的兴趣。
OEM 后门
SSH  和Telnet 远程登录功能可以通过web 界面进行配置启用,启用之后,攻击者可以使用web 界面的登录的账号和密码登录SSH 和Telnet, 登录成功之后, 或得到一个类似 Cisco 路由器命令行 的界面,然后就可以执行各种各样的命令,甚至有的命令还可以实现类似Linux shell的功能。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载