通过诈骗诱捕者合作发现路由器漏洞
简介: 零日漏洞,即供应商未知且无可用补丁的漏洞,我们一直有所耳闻。而这次漏洞的发现要归功于另一位研究员。我虽然可能忘记了他的名字,但我确实是在Ashton Bingham创建的名为“Trilogy Media”的诈骗诱捕社区中找到他的。当时,一位诈骗诱捕者向我介绍了这个漏洞,我经过测试发现它确实存在。
请注意: 这种行为在网络安全社区中是众所周知且有文档记录的,已有相关的CVE和CWE与之关联。因此,这并非零日漏洞。对不起伙计,如果你正在阅读这篇博客,我希望你现在已经知道了(这是指与我一起进行漏洞挖掘并声称它是零日漏洞的那位朋友)。零日漏洞基本上是那些销售产品的供应商未知的漏洞,并且实际上没有可用的缓解措施或补丁。然而,对于这个漏洞,确实存在缓解措施,因此它不能算作零日漏洞的一部分。
关于漏洞的完整故事: 这个漏洞的发现过程相当荒谬,因为一开始我根本不相信它的存在,直到我实际进行测试,甚至发现了与此漏洞相关的CVE。这些CVE包括 CVE-2018–10561:路由器中的硬编码凭证 和 CVE-2020–29583:远程访问缺乏适当身份验证。此漏洞主要影响东方国家,特别是印度等地的海外路由器。这使得诈骗诱捕者能够更简单地利用他们的技能入侵CCTV系统并跟踪这些诈骗者,考虑到他们是出于道德目的对诈骗者进行监视并收集情报发送给联邦机构,这种做法是良好且合乎道德的。
我试图将这个漏洞的发现发布到广受欢迎的漏洞赏金平台Open Bug Bounty上,该平台也允许用户发布博客。然而,看起来他们至今仍未批准这篇帖子。
然而,这让我开始担心,Open Bug Bounty可能意识到了WordPress上的漏洞,或者他们可能没有足够人手来处理平台上的所有垃圾帖子,因此他们决定一直放弃他们的博客。
许多这类垃圾评论和博客都没有得到管理员的批准,截至目前,有41条之多尚未被检查或批准,如下图所示:
很明显,他们可能无法跟进博客,并决定一直放弃,这促使我决定在这里发布这篇文章。
这里发现的漏洞涉及使用默认凭证的远程管理接口暴露。这是一个严重安全漏洞的原因在于,路由器8080端口上存在远程管理接口暴露。可在此应用的攻击类型包括未经授权的远程访问和使用不安全的默认配置,常见的标识符有:
- CWE-798:使用硬编码凭证
- CWE-284:不当的访问控制
- CWE-200:敏感信息暴露给未授权参与者
此处发现的关键问题是:路由器出厂时默认启用了远程管理,暴露在8080端口,并使用了默认凭证。此外,由于路由器缺乏IP过滤或访问控制,任何人都可能访问登录页面并接入路由器,而无需使用Shodan来查找路由器IP地址。使用诸如Angry IP Scanner之类的IP扫描工具就可以轻松定位易受攻击的系统。IP范围通常是那些以**103.**开头的地址(这在亚洲/印度很常见),这些地址普遍被发现存在此漏洞。
这对机密性、完整性和可用性都造成了严重影响,这意味着这是一个高危漏洞,因为:
- 网络流量、连接设备和用户数据可能被访问,对机密性的影响很高。
- 设置可以被更改,日志和配置也可能被篡改,对完整性的影响很高。
- DHCP服务、Wi-Fi访问以及整个路由器都可能被破坏,对可用性的影响也很高。
这并非对编码错误的利用,而是保护默认设置和路由器设计方面的失败。
针对此攻击的缓解措施包括:
- 更改默认凭证
- 禁用远程管理(端口8080和广域网)
- 使用IP白名单或使用VPN访问管理界面,以限制攻击者访问
- 更新路由器固件(较新的固件可能已包含针对该漏洞的补丁)
- 要求ISP和供应商出厂时配置安全默认设置并设计良好的路由器
漏洞利用步骤:
- 打开Angry IP Scanner
- 在广域网上对端口80、8080和443运行
x.x.x.0到x.x.x.255的扫描。8080端口对于大多数路由器来说应该是成功率最高的。 - 从广域网扫描结果中找到易受此攻击的路由器。用于测试此漏洞且效果良好、速度快的路由器最好是那些以103开头的IP。
- 使用默认凭证登录路由器。
- 搞定。你已经成功进入。
好吧,就是这样。虽然这个漏洞实际上并非零日漏洞,它只是一个广泛存在但依然危险的错误配置,已经存在了很久;我希望这篇文章能帮助你更好地理解这个漏洞的存在,以及攻击者能以何种危险方式利用它,同时了解已有的缓解措施。
我最近的情况以及为何很久没有在这里发帖? 要理解过去几个月我没有在这里发帖的去向,答案其实很简单,因为我在之前发布到Medium的一个故事中提到过,正如这里所见。滚动到故事结尾的高亮文本,你会看到:
事实是,虽然我仍然对漏洞赏金狩猎有些兴趣,但我已经建立了服务器,通过VPS(虚拟专用服务器)自动为我执行渗透测试,具体使用的是CrazyRDP提供的服务。他们以非常便宜的价格提供安全、防弹且功能强大的服务器,可以轻松协助进行漏洞赏金狩猎。这简单意味着,当我在工作中处理日常事务时,世界某处的服务器正在为我执行渗透测试并在我工作时为我寻找漏洞。一旦发现这些潜在易受攻击的网站,我会单独测试它们,或者只是在其上运行SQL Map或其他一些工具来为我执行测试(如果我没有时间回头处理它们)。所以是的,我仍然在漏洞赏金领域,但与此同时,我也在我自己拥有的公司担任董事总经理。我还在一个赌场担任网络安全顾问,并且目前正在努力完成我的美国大学学位和CompTIA Security+认证,因为我最近已经获得了CompTIA Network+认证。我在不同领域工作,包括农业,我拥有一个甘蔗农场,这是我花费大部分时间的地方,因为我是公司的董事总经理;我处理从招聘、解雇、账目、检查工人、推动工作进展等一切事务(你可以查看我的LinkedIn个人资料以获取更多信息)。有时我甚至完全不睡觉,因为工作可能会变得不堪重负,我在不同领域同时工作(网络安全和农业),而且我还必须跟上学习进度。然而,目前我大部分时间都花在农业上。赌场的工作是混合式的,所以我实际上不需要做太多体力工作,因为我可以从家里远程完成所有事情,只需要休息一天去赌场进行实地工作、实施渗透测试和执行必要的网络安全操作。但是,我的工作没有留出时间让我上网并在Medium上发帖,除非我是在短期休假之类的时候,所以,就是这样。
结论: 希望这个故事能让你对路由器以及这个漏洞为何并不真正新鲜,也不是传统意义上的“零日”漏洞有所了解。从上下文来看,我相信那家伙认为它是零日漏洞,是因为这是一种路由器供应商在不知情的情况下以易受攻击的状态发货的漏洞。然而,在现实中,尽管这个漏洞确实存在于现实场景中,但它并不被认为是零日漏洞。
参考资料:
- Full Disclosure — Telnet Hardcoded credentials — CVE-2018–20432 — 此类漏洞的一个清晰示例存在于D-Link COVR-2600R/COVR-3902系列中。固件包含允许未经身份验证的攻击者获得完全控制的硬编码telnet凭证。
- CVE-2020-29583 — Zyxel USG Backdoor — 2020年末,Zyxel披露了USG防火墙固件(v4.60)中的一个调试账户(“zyfwp”),其凭证以明文形式存在于固件中。这允许远程、未经身份验证的用户登录SSH或Web界面。 CSD0tFqvECLokhw9aBeRqnM9LTYRKr9JLGto4GgUA1Ylf9TUGKa1FauRojaKMQDFowVMRXHZKCJt5ybG9ascXsk0hgruc+W+5TQL/kePZE7Kqm+I1suTwry1teprDbjvxNhhusJ+A+aNNZ9u62iJX2IdTWJfEuJAB43BhgJfIoGVuJv8iRiwuSQ8igQcrRlH
