Amazon’s Choice最暢銷的TP-Link路由器固件易受攻擊

我們會(huì)有自己的貓 事件 剛剛發(fā)布收藏導(dǎo)語(yǔ)：TP-Link AC1200 Archer C50 (v6)路由器附帶易受攻擊的固件，這可能會(huì)使其用戶面臨中間人攻擊和拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。

[[424330]]

CyberNews研究人員在TP-Link AC1200 Archer C50 (v6)路由器的默認(rèn)固件和Web界面應(yīng)用程序中發(fā)現(xiàn)了許多安全漏洞，這可能會(huì)使其用戶面臨中間人攻擊和拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。

總部位于深圳的TP-Link Technologies Co, Ltd.是全球第一大面向消費(fèi)者的wifi網(wǎng)絡(luò)產(chǎn)品制造商，年銷量達(dá)1.5億臺(tái)，在全球消費(fèi)者WLAN市場(chǎng)中占有42%的份額。

TP-Link路由器由世界領(lǐng)先的制造商生產(chǎn)并由全球最大的在線零售商亞馬遜銷售。TP-Link路由器非常受歡迎，以至于某些型號(hào)經(jīng)常在“wifi路由器”類別中獲得“Amazon’s Choice”徽章。

然而，很少有家庭用戶意識(shí)到有多少流行的消費(fèi)級(jí)路由器型號(hào)存在安全隱患。從默認(rèn)的管理員密碼到未修補(bǔ)的漏洞，甚至是預(yù)裝的后門，購(gòu)買存在問(wèn)題的路由器將會(huì)帶來(lái)災(zāi)難性的后果，例如網(wǎng)絡(luò)滲透、中間人攻擊和路由器接管。

進(jìn)入TP-Link AC1200 Archer C50 (v6)：這款暢銷的“亞馬遜精選”wifi路由器在英國(guó)的零售價(jià)為34.50英鎊(約合48美元)，主要在歐洲市場(chǎng)銷售。

除了與易受攻擊的固件一起出售之外，該路由器還存在另一個(gè)嚴(yán)重缺陷：其Web界面應(yīng)用程序的安全實(shí)踐欠佳且加密薄弱，這可能使眾多用戶面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

如果您碰巧擁有TP-Link AC1200 Archer C50 (v6)路由器，請(qǐng)立即安裝最新的固件更新。

我們發(fā)現(xiàn)了什么

在我們對(duì)TP-Link AC1200 Archer C50 (v6)路由器進(jìn)行安全分析的過(guò)程中，我們?cè)诼酚善鞴碳哪J(rèn)版本及其Web界面應(yīng)用程序中發(fā)現(xiàn)了多個(gè)未修補(bǔ)的漏洞：

• 路由器附帶過(guò)時(shí)的固件，容易受到數(shù)十個(gè)已知安全漏洞的攻擊。
• 默認(rèn)情況WPS處于啟用狀態(tài)，這可能允許威脅行為者對(duì)路由器進(jìn)行暴力破解。
• 注銷路由器應(yīng)用程序后，會(huì)話token不會(huì)在服務(wù)器端刪除，并被接受用于后續(xù)授權(quán)程序。
• 路由器的管理員憑據(jù)和配置備份文件使用弱協(xié)議加密，攻擊者可以輕松解密。
• 路由器的Web界面應(yīng)用程序的默認(rèn)版本存在多種不良安全實(shí)踐和漏洞，包括點(diǎn)擊劫持、字符集不匹配、cookie松弛、私有IP泄露、HTTPS加密不足等等。

另一方面，影響舊版本路由器固件的大多數(shù)已知缺陷，例如ping過(guò)程中的代碼執(zhí)行和路徑遍歷漏洞，都已在我們分析的版本中進(jìn)行了修補(bǔ)。此外，路由器Web界面應(yīng)用程序上登錄和注銷過(guò)程中的HTTP流量現(xiàn)在使用排列的base64協(xié)議進(jìn)行加密。

然而，一些缺陷只是修補(bǔ)了一半。例如，路由器的后端似乎仍然相對(duì)不安全，這意味著其他人可能會(huì)在Web界面中找到一個(gè)入口點(diǎn)并重新利用以前已知的缺陷。

7月18日，CyberNews聯(lián)系TP-Link征求意見(jiàn)，并了解他們是否知道這些缺陷，以及他們計(jì)劃采取哪些措施來(lái)保護(hù)客戶。

在我們發(fā)送了受攻擊的TP-Link設(shè)備的信息后，TP-Link表示公司將強(qiáng)制對(duì)受攻擊的設(shè)備進(jìn)行固件更新，用戶將通過(guò)他們的管理界面收到有關(guān)這些更新的“相關(guān)通知”，無(wú)論“他們是通過(guò)網(wǎng)絡(luò)終端還是移動(dòng)應(yīng)用程序Tether進(jìn)行設(shè)備管理。”

默認(rèn)固件版本中存在大量已知漏洞

我們的初步調(diào)查發(fā)現(xiàn)，路由器固件使用的服務(wù)與MITRE常見(jiàn)漏洞和暴露(CVE)數(shù)據(jù)庫(kù)中列出的39個(gè)公開(kāi)的安全漏洞相匹配。然后，我們通過(guò)將漏洞分為4類來(lái)縮小此列表的范圍：

• 最有可能出現(xiàn)
• 很可能出現(xiàn)
• 可能出現(xiàn)
• Unexploitable

我們通過(guò)調(diào)查路由器的內(nèi)核及其服務(wù)的版本號(hào)，以及我們可以在GitHub上查找的以前的詳細(xì)報(bào)告和開(kāi)源代碼來(lái)確定它們的可能性。

正如我們所看到的，39個(gè)漏洞中有24個(gè)被確定為可能存在于路由器固件中的潛在漏洞，其中15個(gè)被確認(rèn)為“Unexploitable”。

令人擔(dān)憂的是，路由器上有7個(gè)已知漏洞被確認(rèn)為“最有可能出現(xiàn)”的：

• “釋放后使用”漏洞允許潛在威脅參與者通過(guò)刪除網(wǎng)絡(luò)命名空間來(lái)對(duì)路由器發(fā)起拒絕服務(wù)攻擊。
• “PPPoL2TP”功能允許潛在攻擊者通過(guò)利用路由器套接字之間的數(shù)據(jù)結(jié)構(gòu)差異來(lái)獲得網(wǎng)絡(luò)特權(quán)。
• 路由器內(nèi)核中的多個(gè)整數(shù)溢出讓威脅行為者發(fā)起拒絕服務(wù)攻擊或獲得特權(quán)。
• 如果攻擊者利用此cURL漏洞，則可能會(huì)泄露路由器所有者的憑據(jù)，從而導(dǎo)致敏感信息的泄露。
•  另一個(gè)cURL漏洞允許潛在的威脅行為者竊取用戶數(shù)據(jù)并發(fā)起拒絕服務(wù)攻擊。
• Dropbear中存在的scp.c漏洞可讓潛在攻擊者繞過(guò)訪問(wèn)限制并修改目標(biāo)目錄的權(quán)限。
•  CVE-2014-3158漏洞允許威脅行為者來(lái)訪問(wèn)網(wǎng)絡(luò)上的特權(quán)選項(xiàng)和“[corrupt]安全有關(guān)的變量。”

此外，還有15個(gè)額外漏洞被視為“可能存在”。話雖如此，這些都沒(méi)有經(jīng)過(guò)實(shí)際測(cè)試，因?yàn)槲覀冋也坏街苯拥膮⒖假Y料或概念證明來(lái)確定它們是很可能存在的。

另外兩個(gè)漏洞——CVE-2011-2717和CVE-2015-3310——被認(rèn)定為“不太可能”，但也可能存在于路由器上。

TP-Link Web界面應(yīng)用程序代碼揭示了低于標(biāo)準(zhǔn)的安全實(shí)踐

在確定固件中的許多潛在漏洞后，我們通過(guò)使用Nmap、BurpSuite和OWASP ZAP滲透測(cè)試工具掃描路由器的默認(rèn)web界面應(yīng)用程序，并對(duì)其進(jìn)行了分析。

掃描結(jié)果顯示，路由器的Web界面應(yīng)用程序中存在許多不合標(biāo)準(zhǔn)的安全實(shí)踐和漏洞，它們可能會(huì)被威脅行為者利用：

• 該應(yīng)用默認(rèn)不支持HTTPS，允許潛在攻擊者攔截網(wǎng)絡(luò)流量。
• 啟用后，接口內(nèi)的HTTPS使用弱TLS 1.0和TLS 1.1加密協(xié)議實(shí)現(xiàn)。
• 該應(yīng)用程序使用Base64編碼方案，可以被潛在的中間人攻擊者輕松解碼。
• 該接口存在Cookie Slack漏洞，這可能允許威脅參與者進(jìn)行指紋識(shí)別。
• 字符集不匹配允許潛在的威脅參與者強(qiáng)制Web瀏覽器進(jìn)入內(nèi)容嗅探模式。
• 應(yīng)用程序內(nèi)圖像上的內(nèi)容類型不正確，這可能會(huì)導(dǎo)致攻擊者將惡意腳本偽裝成圖像。
• 未設(shè)置X-Content-Type-Options標(biāo)題，導(dǎo)致允許進(jìn)行內(nèi)容嗅探。
• 該應(yīng)用程序的JavaScript代碼中使用了“Eval()”函數(shù)，這可能允許潛在攻擊者向該函數(shù)中注入惡意代碼。
• 路由器的Web界面容易受到反向tabnabbing攻擊，攻擊者可以使用框架頁(yè)面來(lái)重寫它們并將其替換為網(wǎng)絡(luò)釣魚(yú)頁(yè)面。
• 未設(shè)置內(nèi)容安全策略header，使得Web瀏覽器可以加載Web界面頁(yè)面內(nèi)的任何類型的內(nèi)容，包括惡意代碼。
• 該接口允許披露私有IP，這讓潛在的威脅行為者可以識(shí)別本地網(wǎng)絡(luò)中的受害者。
• 惡意行為者可以使用界面內(nèi)的可框架響應(yīng)來(lái)誘使用戶無(wú)意中點(diǎn)擊不同頁(yè)面上的按鈕或鏈接，而不是預(yù)期頁(yè)面(也稱為點(diǎn)擊劫持)。
• 每秒向路由器發(fā)送足夠多的請(qǐng)求，路由器就會(huì)失去響應(yīng)，這意味著存在拒絕服務(wù)漏洞。

我們還注意到，默認(rèn)固件版本使用DSA和RSA算法進(jìn)行密鑰加密-這是Dropbear SSH加密服務(wù)9年前實(shí)現(xiàn)的，其本身存在多個(gè)漏洞。

最后，我們決定檢查路由器的固件是否仍然存在其他安全研究人員在其先前版本中發(fā)現(xiàn)的多個(gè)嚴(yán)重漏洞。幸運(yùn)的是，舊版本中發(fā)現(xiàn)的缺陷在CyberNews測(cè)試的版本中不再存在，這意味著新用戶不再面臨路徑遍歷攻擊和未經(jīng)身份驗(yàn)證的訪問(wèn)嘗試。

一個(gè)長(zhǎng)達(dá)兩年的嚴(yán)重漏洞

除了路由器配置文件的加密不佳，我們發(fā)現(xiàn)并驗(yàn)證的最嚴(yán)重的安全漏洞之一是2019年的一個(gè)漏洞，該漏洞僅在路由器固件的默認(rèn)版本中進(jìn)行了部分修補(bǔ)。

如果攻擊者攔截了來(lái)自具有管理員權(quán)限并成功登錄路由器的用戶的網(wǎng)絡(luò)流量，他們將能夠提取其JSESSIONID cookie，結(jié)合正確的硬編碼Referrer header，我們就可以訪問(wèn)任何CGI腳本，包括路由器配置文件的備份，我們可以使用可追溯到2018年的公開(kāi)工具輕松解密。

解密后的配置文件存儲(chǔ)了路由器的多個(gè)信息和敏感變量，包括：

• 管理員密碼
• 無(wú)線上網(wǎng)的WPS密鑰
• 硬件版本
• 軟件版本
• 網(wǎng)絡(luò)名稱(SSID)

此外，路由器的配置文件在后端進(jìn)行解釋，這可能讓攻擊者通過(guò)解密配置文件、編輯配置文件并將重新加密的惡意配置文件上傳回路由器來(lái)進(jìn)行命令注入攻擊。

為什么使用過(guò)時(shí)固件運(yùn)送路由器很危險(xiǎn)

隨著新冠疫情迫使數(shù)百萬(wàn)人遠(yuǎn)程工作，家庭路由器已成為網(wǎng)絡(luò)犯罪分子的重要目標(biāo)。在此過(guò)程中公司發(fā)現(xiàn)要充分保護(hù)所有員工的網(wǎng)絡(luò)設(shè)備幾乎是不可能的。

盡管路由器制造商會(huì)定期發(fā)布固件更新以解決新漏洞，但查找、下載和安裝這些更新的責(zé)任還是落在了普通用戶身上。然而，即使是經(jīng)驗(yàn)豐富的IT專業(yè)人員也經(jīng)常忘記讓他們的路由器軟件保持最新。這意味著大多數(shù)家用路由器將無(wú)限期地保留其固件的默認(rèn)版本，這也是不法分子認(rèn)為它們作為目標(biāo)的原因之一。

考慮到這一點(diǎn)，TP-Link一直在暢銷路由器上保留過(guò)時(shí)的固件，這可能會(huì)讓數(shù)不清的TP-Link客戶面臨惡意參與者攻擊的風(fēng)險(xiǎn)。

AC1200 Archer C50 (v6)是一款好的路由器嗎?或許是吧。開(kāi)箱即用是否安全?除非制造商對(duì)其進(jìn)行強(qiáng)制更新。僅僅在公司網(wǎng)站上發(fā)布更新或通過(guò)應(yīng)用程序發(fā)送通知不一定能解決這個(gè)問(wèn)題。

我們?nèi)绾问占头治鰯?shù)據(jù)

為了進(jìn)行這項(xiàng)調(diào)查，我們拆解了亞馬遜最暢銷的TP-Link AC1200 Archer C50 (v6)路由器，訪問(wèn)了其外殼終端，并使用Nmap、BurpSuite和OWASP ZAP滲透測(cè)試工具分析了路由器固件(“Archer C50(EU)_V6_200716”)和web界面。

在拆開(kāi)路由器時(shí)，我們發(fā)現(xiàn)了它的UART串行端口，并通過(guò)使用中間控制器將打開(kāi)的串口連接到計(jì)算機(jī)來(lái)訪問(wèn)其后端終端。

這使我們能夠提取路由器的默認(rèn)固件，查看其引導(dǎo)加載順序，并將路由器使用的服務(wù)和小程序的版本與MITRE CVE數(shù)據(jù)庫(kù)進(jìn)行交叉引用，我們將其用作識(shí)別任何潛在安全性的標(biāo)準(zhǔn)缺陷。然后，我們分析了路由器的Web界面，以驗(yàn)證在MITRE CVE數(shù)據(jù)庫(kù)中發(fā)現(xiàn)的任何潛在漏洞。

此外，我們通過(guò)攔截對(duì)其CGI控制器的合法調(diào)用來(lái)提取路由器的弱加密配置文件。然后我們能夠解密此配置文件以顯示管理員憑據(jù)和路由器的WPS訪問(wèn)密鑰。

這使我們能夠發(fā)現(xiàn)其他低于標(biāo)準(zhǔn)的安全實(shí)踐，包括弱加密協(xié)議、默認(rèn)啟用的WPS，以及在管理員注銷程序后保持活動(dòng)的訪問(wèn)token。

拆解路由器

為了分析路由器固件是否存在潛在的安全漏洞，我們首先必須獲得對(duì)路由器外殼終端的訪問(wèn)權(quán)限。

我們首先對(duì)設(shè)備本身進(jìn)行物理分解，并揭開(kāi)其串行端口。

在電路板上找到路由器的串口后，我們通過(guò)USB轉(zhuǎn)換器將路由器連接到另一臺(tái)計(jì)算機(jī)上，這樣我們就可以對(duì)其固件進(jìn)行分析。

我們能夠通過(guò)在連接的計(jì)算機(jī)上運(yùn)行一組命令并打開(kāi)路由器來(lái)訪問(wèn)路由器的shell終端。

提取數(shù)據(jù)

在獲得對(duì)路由器的外殼訪問(wèn)權(quán)限后，我們收集了以下信息：

• 路由器的啟動(dòng)加載順序。
• /etc/passwd文件夾的內(nèi)容，用于跟蹤所有注冊(cè)用戶并存儲(chǔ)他們的信息，包括用戶名和密碼。
• /var/tmp/dropbear文件夾的內(nèi)容，其中存儲(chǔ)了路由器的SSH密鑰和SSH密碼。
• 可用命令列表、$PATH變量和可用服務(wù)列表。

收集原始數(shù)據(jù)后，我們的下一步是識(shí)別任何潛在的漏洞，然后手動(dòng)驗(yàn)證它們，看看它們是否可以被威脅行為者利用，至少在理論上是這樣。我們通過(guò)將數(shù)據(jù)與MITRE CVE數(shù)據(jù)庫(kù)進(jìn)行交叉引用來(lái)做到這一點(diǎn)，該數(shù)據(jù)庫(kù)幫助我們識(shí)別了39個(gè)潛在的安全漏洞，然后手動(dòng)驗(yàn)證它們以查看它們是否會(huì)被威脅行為者利用。

最后，我們使用Nmap、BurpSuite和OWASP ZAP滲透測(cè)試工具掃描了路由器的Web界面。這使我們能夠識(shí)別TP-Link用于存儲(chǔ)和傳輸敏感信息的加密算法，揭示路由器Web界面應(yīng)用程序中存在的不合標(biāo)準(zhǔn)的安全實(shí)踐和漏洞。

本文翻譯自:https://cybernews.com/security/amazon-tp-link-router-ships-with-vulnerable-firmware/#discovered如若轉(zhuǎn)載，請(qǐng)注明原文地址。