与反诈骗猎人合作发现的路由器漏洞深度剖析

qife122
5 阅读7分钟

引言

我们总是听闻“零日漏洞”的大名——那些供应商不知情、且尚无补丁可用的产品漏洞。这次漏洞的发现得益于另一位研究者的引荐。虽然我可能忘记了他的名字,但显然是在一个名为“Trilogy Media”(由Ashton Bingham运营)的反诈骗社区中找到他的。社区里的一位反诈骗猎人向我介绍了这个漏洞,我随后进行了测试,并证实了它的确存在。

注意: 这种行为在网络安全社区中是众所周知且有据可查的,并有相关的CVE和CWE编号。然而,这并非一个零日漏洞。 如果你正在读这篇博客,伙计(指和我一起寻找这个漏洞并声称它是零日漏洞的那位),我希望你现在已经明白了。零日漏洞是指那些产品供应商未知,且尚无有效缓解措施或补丁的漏洞。但对于本文讨论的漏洞,缓解措施是存在的,因此它不属于零日漏洞的范畴。

漏洞发现的故事

这个漏洞的发现过程相当离奇,因为起初我压根不相信它的存在,直到我亲自进行了测试,并找到了与之相关的CVE编号。它们是:

  • CVE-2018-10561: 路由器中的硬编码凭证。
  • CVE-2020-29583: 无正确认证的远程访问。

该漏洞主要影响海外国家的路由器,尤其是在印度等国家。这使得反诈骗者可以轻松运用他们的技能黑进闭路电视系统,并追踪这些诈骗者。考虑到他们是出于道德目的,对诈骗者进行监控并收集情报以提交给联邦机构,这无疑是一种良好且合乎道德的行为。

我曾尝试将这个漏洞的发现提交给一个流行的漏洞赏金平台(该平台也允许用户发布博客),名为 Open Bug Bounty。然而,截至今日,该帖子似乎仍未通过审核。

(插入图片:自2024年12月起帖子未获批准)

这让我怀疑,Open Bug Bounty 平台可能意识到了 WordPress 上的漏洞问题,又或者他们根本没有人力来处理平台上所有的垃圾帖子,所以干脆放弃了他们的博客。

(插入图片:WordPress 博客上的垃圾帖子)

大量此类垃圾评论和博客尚未得到管理员批准,截至目前,未经检查或批准的帖子多达 41 个,如下图所示:

(插入图片:网站上的评论计数)

这清楚地表明他们可能无法兼顾博客,最终选择了放弃,这也促使我决定在此发布这篇文章。

漏洞技术分析

这里发现的漏洞涉及远程管理接口暴露默认凭证的使用

为什么这是一个严重的安全漏洞? 因为在路由器的8080端口上存在一个远程管理接口。可以在此实施的攻击类型包括未授权的远程访问,以及利用不安全的默认配置

相关通用缺陷枚举:

  • CWE-798: 使用硬编码凭证
  • CWE-284: 不恰当的访问控制
  • CWE-200: 向未授权行为者暴露敏感信息

关键问题: 这些路由器在出厂时默认开启了远程管理功能,暴露在8080端口,并使用了默认凭证。此外,由于路由器缺乏IP过滤或访问控制,任何人都可能直接访问到登录页面。甚至无需使用Shodan这类搜索引擎来查找路由器IP地址,只需使用Angry IP Scanner等IP扫描工具,扫描特定IP段(如以 103. 开头的IP段,常见于亚洲/印度),就能轻易定位到易受攻击的系统。

漏洞影响

该漏洞严重威胁到信息的机密性、完整性和可用性,属于高危漏洞。

  • 机密性影响高: 网络流量、连接的设备及用户数据都可能被访问。
  • 完整性影响高: 可以更改路由器设置、篡改日志和配置。
  • 可用性影响高: 可以中断DHCP服务、Wi-Fi接入,甚至使整个路由器瘫痪。

注意: 这并非编码缺陷的利用,而是由于路由器安全默认设置和设计上的失败。

攻击利用步骤

  1. 打开 Angry IP Scanner
  2. 设置扫描范围:在广域网上扫描 x.x.x.0x.x.x.255 的IP段,端口设置为 80、8080 和 443。对于大多数路由器,8080端口是最佳目标。
  3. 识别目标:从扫描结果中找到存在漏洞的路由器。对于快速测试此漏洞,以 103 开头的IP是最佳选择。
  4. 尝试登录:使用默认凭证(如admin/admin)登录路由器。
  5. Voila! 你已成功进入。

缓解措施

  • 更改默认凭证:立即修改路由器的默认用户名和密码。
  • 禁用远程管理:关闭WAN口的远程管理功能,特别是8080端口。
  • 实施IP白名单:或使用VPN来访问管理界面,以限制攻击者的访问。
  • 更新路由器固件:较新的固件版本可能已包含针对此漏洞的补丁。
  • 呼吁供应商改进:要求ISP(互联网服务提供商)和供应商出厂时配备安全默认设置和设计良好的路由器。

我的近况与为何许久未发文

想了解我过去几个月在忙什么?答案很简单。虽然我对漏洞赏金仍感兴趣,但我已经通过VPS(虚拟专用服务器)设置了自动执行渗透测试的服务器。这意味着当我在处理日常工作时,世界某个角落的服务器正在为我执行渗透测试并寻找漏洞。

同时,我还在经营自己的公司担任董事总经理,也在为一家赌场做兼职网络安全顾问。此外,我正在完成我的美国大学学位和CompTIA Security+认证(最近已获得CompTIA Network+)。我涉足不同的领域,包括农业——我拥有一个甘蔗农场,目前大部分时间都花在那里。工作繁重时,我甚至彻夜不眠。因此,除非是短暂的休假,否则我很难有时间上线并在Medium上发文。

结论

希望这篇文章能让你对路由器漏洞有更深入的了解,并明白为什么这个漏洞算不上传统意义上的“零日漏洞”。在特定语境下,或许有人认为它是零日漏洞,因为路由器厂商可能并未意识到他们出厂的产品处于易受攻击的状态。然而,现实情况是,尽管这个漏洞在真实世界中存在,但它并不被认为是零日漏洞。

参考文献

  • Full Disclosure — Telnet Hardcoded credentials — CVE-2018–20432: 该漏洞类型的一个典型案例是 D‑Link COVR‑2600R/COVR‑3902 系列。其固件包含硬编码的telnet凭证,允许未经身份验证的攻击者完全控制设备。
  • CVE‑2020‑29583 — Zyxel USG Backdoor: 2020年底,Zyxel披露了其USG防火墙固件(v4.60)中存在一个调试账户(“zyfwp”),其凭证在固件中以明文形式存在。这允许远程、未经身份验证的攻击者通过SSH或Web界面登录。FINISHED CSD0tFqvECLokhw9aBeRqnM9LTYRKr9JLGto4GgUA1Ylf9TUGKa1FauRojaKMQDFowVMRXHZKCJt5ybG9ascXsk0hgruc+W+5TQL/kePZE7Kqm+I1suTwry1teprDbjvxNhhusJ+A+aNNZ9u62iJX2IdTWJfEuJAB43BhgJfIoGVuJv8iRiwuSQ8igQcrRlH
avatar
文章
阅读
粉丝