中興公司(ZTE)生產(chǎn)的SOHO Router部分型號路由器中被發(fā)現(xiàn)存在后門。早在2014年3月，知名安全公司Rapid7就披露了中興公司的路由器存在已知后門。不過在接下來的幾個月內(nèi)，中興公司并未對該漏洞進行修復(fù)。

問題描述

中興通訊生產(chǎn)的SOHO Router的一些型號中，Web根目錄(/home/httpd)下存在 /web_shell_cmd.gch 文件，沒有任何訪問控制，可以直接執(zhí)行任意系統(tǒng)命令。

以下幾點值得注意：

Rapid7于2014年3月3日公布此漏洞，但是根據(jù)搜索結(jié)果，此問題早在2012年就被人發(fā)現(xiàn)，并被當做了破解ISP限制的方法在網(wǎng)上公布，但是文章重點是介紹了配置命令的用法，對此漏洞只是一筆帶過。2013年也已經(jīng)有人研究過漏洞相關(guān)文件 。

經(jīng)過驗證，此漏洞不止存在于 Rapid7 公開的兩個型號(F460/ F660)的設(shè)備中，其他型號也存在此問題(主要有 F412、F420、F460、F660、ZXA10F460 等)。且描述中的兩個型號也不一定存在此漏洞，可能與電信裝機時的配置有關(guān)。

通過此漏洞，遠程攻擊者可以直接控制設(shè)備，修改任意設(shè)置。這些設(shè)備提供了修改設(shè)置的命令行工具，可以直接利用此漏洞通過一個請求就能實現(xiàn)DNS劫持等功能。

訪問方式

訪問后門如下：http://IP/web_shell_cmd.gch。直接執(zhí)行命令cat /etc/passwd,效果如圖。

利用該漏洞不僅可以執(zhí)行shell命令，而且還可以執(zhí)行光貓sendcmd，譬如可以獲取并修改管理員的賬號密碼。

光貓sendcmd可以參考，http://www.myxzy.com/post-342.html

影響范圍

漏洞利用簡單暴力，漏洞影響頗為廣泛。

通過shodan抓取指紋如下，http://www.shodanhq.com/search?q=%22Mini+web+server+1.0+ZTE%22+port%3A80+after%3A01-12-2013

通過shodan抓取的結(jié)果，我們不難發(fā)現(xiàn)，該漏洞可以進行批量抓取。通過暴露在公網(wǎng)的IP對中國地域進行審計發(fā)現(xiàn)，至少不低于1000臺設(shè)備存在該漏洞。

參考信息來源：https://community.rapid7.com/community/infosec/blog/2014/03/03/disclosure-r7-2013-18-zte-f460-and-zte-f660-webshellcmdgch-backdoor

http://www.zmke.com/i/13163.html