信息來源：4hou

本文將詳細介紹運行固件版本3.16.0 0.9.1 v600c.0 Build 180124 Rel.28919n的TP-Link Archer C5 v4路由器中的0 day漏洞。目前，該漏洞已被命名為CVE-2017-7405，并已由TP-Link發(fā)布，你可以在此篇文章的末尾獲取補丁的鏈接。

互聯(lián)網(wǎng)路由器是連接我們工作，服務(wù)和休閑的無所不在的設(shè)備，已經(jīng)成為每個家庭，企業(yè)和公共場所不可或缺的一部分。盡管它們對于我們與世界的連接至關(guān)重要，但它們卻是我們每天使用的最不安全的設(shè)備之一。

在本文中， X-Force Red 實驗室的Grzegorz Wypych研究人員（又名@ horac341 ）發(fā)現(xiàn)了在TP-Link Archer C5（v4）路由器中發(fā)現(xiàn)的固件漏洞。這是一個0 day漏洞，以前沒有報告過，并且可能影響家庭和企業(yè)環(huán)境。如果利用此路由器漏洞，則遠程攻擊者可以通過局域網(wǎng)（LAN）上的Telnet來控制路由器的配置，并通過LAN或廣域網(wǎng)（WAN）連接到文件傳輸協(xié)議（FTP）服務(wù)器。

該漏洞被認為是至關(guān)重要的，因為它可以授予未經(jīng)授權(quán)的第三方使用管理員特權(quán)訪問路由器，而這是所有用戶在該設(shè)備上的默認設(shè)置，而無需進行適當?shù)纳矸蒡炞C。在使用此類路由器啟用訪客Wi-Fi的商業(yè)網(wǎng)絡(luò)上，風險更大。如果將其放置在企業(yè)網(wǎng)絡(luò)上，則受損的路由器可能成為攻擊者的切入點，并且成為偵察和橫向移動策略的前哨站。

此漏洞的發(fā)布遵循TP-Link負責任的披露流程，旨在幫助用戶和防御者采取措施來緩解這些設(shè)備的風險。

密碼溢出漏洞

在深入探究如何發(fā)現(xiàn)此漏洞之前，描述此漏洞的簡短方法是使用戶密碼無效的易受攻擊的HTTP請求。在各種各樣的溢出漏洞中，當將比預(yù)期的字符串長度短的字符串作為用戶密碼發(fā)送時，密碼值會失真為一些非ASCII字節(jié)。

但是，如果字符串太長，密碼將完全無效，由空值代替。此TP-Link設(shè)備僅具有一種用戶類型（具有root權(quán)限的管理者），并且所有進程均由用戶在此訪問級別下運行，這可以使攻擊者以管理者的身份操作并接管設(shè)備。

觸發(fā)路由器漏洞

當我們調(diào)查觸發(fā)脆弱情況的原因時，我們可以看到，只需發(fā)送正確的請求即可獲得對設(shè)備的訪問權(quán)限，圖1顯示了我們用來舉例說明這個觸發(fā)器的HTTP請求。

我們這里有兩種類型的請求：安全的和易受攻擊的。對于對HTML內(nèi)容的安全請求，必須驗證兩個參數(shù)：TokenID和JSESSIONID。但是，此處的通用網(wǎng)關(guān)接口（CGI）驗證僅基于引用者的HTTP標頭。如果它與IP地址或與tplinkwifi.net關(guān)聯(lián)的域匹配，則路由器的主要服務(wù)HTTPD將識別為有效。

圖1.易受攻擊的HTTP POST請求未驗證所需的參數(shù)

如果該引用從標頭中刪除，請求將返回一個“禁止訪問”響應(yīng)。

圖2.從請求中刪除的引用——HTTP響應(yīng)返回“403禁止”

此漏洞以相同的方式影響HTTP POST和GET請求，當字符串長度超過允許的字節(jié)數(shù)時，管理密碼無效。

圖3.HTTP GET請求同樣會使密碼無效

看看固件

此時，看到這些請求使密碼無效后，我們想看一下設(shè)備的固件。由于固件并不總是在供應(yīng)商的網(wǎng)站上可用，因此我們不得不從設(shè)備的閃存芯片中提取固件。

有了存儲芯片的版本號，可以更輕松地在線查找有關(guān)它的更多信息，并且我們能夠使用芯片夾和二進制文件分析工具BinWalk直接從芯片中提取固件。

圖4.使用BinWalk提取的路由器固件

請注意，在提取期間，有一個RSA私鑰存儲在內(nèi)存中。訪問Web服務(wù)時，此密鑰用于加密和解密用戶密碼。

解壓縮固件后，我們發(fā)現(xiàn)登錄數(shù)據(jù)存儲在rootfs / etc文件夾中。默認的用戶名和密碼非常弱。保留默認組合可以允許訪問FTP服務(wù)器并授予控制臺訪問權(quán)限。如此弱的密碼有很多訪問權(quán)限，幾乎任何人都可以猜到，而且不幸的是，它也是傳播諸如Mirai之類的僵尸網(wǎng)絡(luò)惡意軟件的自動攻擊的源頭。

圖5.對路由器的root訪問

通過root級訪問，我們現(xiàn)在可以獲得對二進制文件的一些控制。我們也有TFTP，所以我們下載了MIPS gdbServer，這是一個用于類Unix系統(tǒng)的控制程序，允許操作員從另一個系統(tǒng)遠程調(diào)試其他程序。這樣，調(diào)試器不需要駐留在同一設(shè)備上，只需要我們要調(diào)試的可執(zhí)行文件駐留在目標系統(tǒng)上即可。

我們將此工具與IDA（一種多處理器反匯編器和調(diào)試器）結(jié)合使用，以進行靜態(tài)和動態(tài)分析，因此我們可以找到路由器漏洞的來源，并通過此過程來說明如何在找到該漏洞并觸發(fā)它。

下圖顯示了在IDA上查看的已解析HTTP標頭的相關(guān)部分：

圖6.已解析的HTTP標頭顯示了引用程序的設(shè)置

請注意，此處使用函數(shù)strncmp來驗證帶有字符串tplinkwifi.net的Referrer標頭。前面還驗證了IP地址，附加調(diào)試器可以查看這些詳細信息，確認這確實是一個可利用的路由器漏洞。

攻擊請求

我們的下一步是檢查當我們使用不同的字符串長度發(fā)送易受攻擊的請求時，密碼文件會如何處理。首先，我們嘗試發(fā)送一個較短的字符串，只有幾個字節(jié)。

圖7.使用較短的密碼字符串發(fā)送HTTP GET請求

該短字符串通過并損壞了密碼文件，結(jié)果是用戶將無法登錄，攻擊者也將無法登錄。此漏洞影響Telnet，F(xiàn)TP和Web服務(wù)。

圖8.被用戶提交的短字節(jié)字符串損壞的密碼文件

接下來，我們嘗試發(fā)送長度超過允許字符數(shù)的密碼。

發(fā)送一個很長的密碼

這次，密碼完全無效，并且該值現(xiàn)在為空。從現(xiàn)在開始，只使用“admin”作為用戶名，即可訪問TELNET和FTP，而無需輸入任何密碼，默認情況下，該用戶名是設(shè)備上唯一可用的用戶。

圖9.管理員密碼已失效

其他漏洞

在無需真正身份驗證即可獲得管理員訪問權(quán)限后，我們發(fā)現(xiàn)該特定設(shè)備還允許在WAN上配置FTP。此外，我們可以通過安全的HTTPS連接遠程管理路由器，這也容易受到CGI攻擊。如果被惡意第三方利用，此路由器漏洞的影響和影響可能是有害的。

攻擊者不僅可以獲得特權(quán)訪問，而且合法用戶也可以被鎖定，并且不再能夠通過用戶界面登錄Web服務(wù)，因為該頁面將不再接受任何密碼（用戶不知道）。在這種情況下，受害者可能無法訪問控制臺，甚至無法訪問shell程序，從而無法重新建立新密碼。即使有辦法設(shè)置新密碼，下一個易受攻擊的LAN/WAN/CGI請求也將再次使密碼無效。因此，唯一的訪問將是通過USB端口連接的FTP文件。

潛在影響的另一個方面是RSA加密密鑰可能會失敗，因為它不是設(shè)計用于空密碼值的。

最重要的是，受害者的設(shè)備FTP（如果配置為在WAN上使用）和Telnet（僅LAN）可以完全暴露給攻擊者。

易受攻擊的路由器比比皆是：如何保護你的數(shù)據(jù)

最近在TP-Link路由器上的這一關(guān)鍵漏洞只是物聯(lián)網(wǎng)(IoT)安全領(lǐng)域的冰山一角。如今，幾乎每個家庭都使用路由器，但根據(jù)美國消費者協(xié)會(American Consumer Institute)的一項研究，六分之五的路由器因安全漏洞沒有得到充分更新。當這些漏洞出現(xiàn)時，數(shù)百萬家庭和企業(yè)用戶將面臨數(shù)據(jù)泄露的風險。不僅僅是文本信息會丟失，想想網(wǎng)絡(luò)攝像頭、嬰兒監(jiān)視器和其他家用連接設(shè)備使用同一路由器連接互聯(lián)網(wǎng)的畫面。

為了緩解這些風險，用戶必須更加重視路由器的安全性，并且要做的第一件事就是更改默認密碼。 如果設(shè)備不允許修改用戶名和密碼，那么這無疑是查看更多漏洞的可靠方法。使用默認設(shè)備的企業(yè)應(yīng)采取緩解措施，并在可能的情況下對此類設(shè)備訪問啟用雙因素身份驗證(2FA)。