TR-064漏洞受影响厂商设备及TR-064协议安全性分析

作者:英国Xiphos Research高级安全研究员 Darren Martyn

过去几个星期,嵌入式设备表现出来的安全状况让人担忧,在Mirai的早期代码被公开之后,我就认为一些“智能设备”僵尸网络将会迅速传播,除了telnet扫描之外,可能还会以其它多种方式扩大感染范围。果不其然,这种情况真的出现了-《德国路由器漏洞导致的大规模DDos攻击》

坦率地说,我个人认为,导致上述德国网络受到攻击的首要原因,归根到底不是因为Mirai,而是因为设备供应商在运行TR-064协议时存在的漏洞。这是目前经我们研究发现的,一些受TR-064漏洞影响的设备供应商和产品列表:完整列表点此获取 paste.ubuntu

以下是我个人对TR-064技术标准的安全性分析:

TR-064协议理解

TR-064:全称LAN侧DSL设备管理配置协议,是LAN 端对路由器、调制解调器等客户终端设备(CPE) 的管理协议。在家庭网络环境或ISP公司内网中,允许各种客户端软件进行连接操作或技术支持管理。这些软件包括ISP提供商的CD安装程序或软件包等。

TR-064规格基于类似UPnP的SOAP协议,允许查看、修改和设置,其默认端口为TCP 7547。命令会以POST请求的形式被发送至此端口。通过该协议,可以实现设备的DNS服务器、NTP服务器、wifi设置和ACS服务器等配置的修改。

TR-064安全模型

在TR-064的技术标准文档第4节,对安全性作了说明,其中指出“任何对CPE设备的更改性访问行为都必须有密码保护”,另外,文档还提到任何登录访问必须要求HTTP基本认证,当然建议使用SSL/TLS;其次,对密码等敏感信息设置不可读权限,对状态、数据设置只读权限,而“认证”(authentication)项则不作要求。

虽然文档中声明此协议规定只限LAN端的访问管理,但并没有特别指出WAN端口对协议服务的访问限制。

TR-064技术标准中的安全缺陷

1.未对认证模式设置只读权限; 2.仅限制了对设备配置的更改和写入操作才需要密码认证; 3.仅设置了对密码信息的不可读权限。

另外,在现实情况中,很多供应商要么就根本就没有发现该标准中存在的不足,要么就是完全忽略了安全的重要性,把这些标准束之高阁。而即使是按照该TR-064标准执行的厂商,其设备当然会存在安全问题,如认证操作滥用、WAN端接入和其它信息的获取。

TR-064端口暴露在互联网上的安全风险

简单的说,目前TR-064协议存在的问题将会导致攻击者不需要任何安全认证,而直接对CPE设备状态进行重新配置,并进行更多的恶意操作,比如:

1.创建新的防火墙或端口映射规则(访问内部网络…或Telnet /设备上的SSH /管理员界面等); 2.获取WPA密码、无线MAC地址、无线SSID信息等; 3.更改CPE设备的DNS服务配置进行欺骗攻击; 4.更改CPE设备的ACS配置服务信息。

SetNTPServers 命令注入漏洞

kenzo2017分析的爱尔兰宽带路由器SetNTPServers命令注入就是很好的例子,当向SOAP终端设备发送特定的SetNTPServers 命令,让设备设置不同的NTPServer值,如NewNTPServer1、NewNTPServer2…,同时注入漏洞攻击代码,CPE设备将会以root(管理员)权限执行命令。

目前,Mirai等多个僵尸网络恶意软件通过此漏洞进行传播感染,CPE设备被植入攻击之后,恶意软件就会关闭TR-069端口7547防止重复感染,同时阻止ISP提供商的远程接入。即使CPE设备重启,漏洞和恶意软件也将持久驻留。

这种蠕虫僵尸网络的传播将会对全球ISP造成灾难性影响,目前,受影响的ISP有:德国电信Telekom、英国Kcom电信、英国TalkTalk电信、英国Post Office Broadband以及爱尔兰电信Eir等。

另外,据我们研究发现,Demon Internet、Plusnet、爱尔兰Vodafone、巴西VEVO等大型ISP的CPE设备也存在类似漏洞隐患。

虽然德国电信断网事件中发现了将近一百万存在隐患的网络设备,但据我们分析,全球将近有1000万设备存在类似隐患的终端设备。

补丁更新与botnet感染之间存在的竞态条件

恶意软件感染了CPE设备之后,将会及时关闭TR-064和TR-069的接入端口,使得ISP提供商无法在线进行固件更新,即使重启之后,恶意软件还会立即重新植入,整个被感染设备成为一个闭合状态。

因此,当设备重启之后,ISP的补丁更新和恶意软件的重新感染之间就形成了一个典型的“竞态条件”,在恶意软件重新感染之前,ISP 的补丁更新必须完成,才能保证设备后期的安全。

但在这场较量中,据我们监测发现,大部分的蠕虫僵尸网络已经把我们的ISP提供商打败。

或许有些ISP提供商声称,他们可以进行网络过滤,但其实这种效果极不理想。

总结

从目前的隐患状况来看,事态发展令人可怕。标准制订缺陷、设备制造安全性不足、ISP提供商后期管理维护不力 等一系列系统性“失效”,最终导致的结果就是,让我们普通终端用户受到攻击威胁,甚至由此造成更多损失。按目前这种情况来看,有以下几点建议:

1.由于设备在生产制造时缺乏安全性设计,设备供应商应该承担责任; 2.ISP提供商应该从源头上对传播感染和攻击进行大力阻止和过滤; 3.在设备制造生产前,ISP提供商和设备供应商应该共同就安全问题进行研究考虑; 4.当涉及到安全问题时,应该严格按照相关标准规定执行; 5.攻击者发现和利用漏洞的速度和程度远远超出我们的想像,ISP提供商和设备供应商应该加强补丁的开发、更新和研究工作。

**参考来源:Linkedin,FB小编clouds编译,转载请注明来自FreeBuf.COM。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-12-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

关于zabbix存在SQL注入高危漏洞的安全公告

近日,国家信息安全漏洞共享平台(CNVD)收录了zabbix存在的SQL注入漏洞(CNVD-2016-06408)。攻击者利用漏洞无需授权登录即可控制zabbi...

3796
来自专栏Zchannel

以全新的视角来评测公共 CDN

之前在 V2EX 上看到这篇「用程序猿视野看公共 CDN」,感觉写的不仅不详细,还有很多纰漏和错误。可是嘲笑别人写得不好,总得自己写篇更好的才行嘛,所以我就写了...

2284
来自专栏安全领域

关于新型的无文件网络攻击,你需要知道的5件事

在今年早些时候 ,在Equifax漏洞事件和全球性的WannaCry勒索软件爆发之后,关于目前的网络安全环境情况已经达到了刻不容缓的时候。企业需要面临着提供更多...

1442
来自专栏FreeBuf

一步一步教你如何解锁被盗的iPhone 6S

即使你的iPhone6S设置了六位数的密码,甚至还设置了touch ID,但我要告诉你的是:你的手机仍然能被犯罪分子解锁。 ? 事件背景 三天前,一位苹果用户的...

23910
来自专栏黑白安全

“RedEye”新型勒索病毒软件破坏文件 重写MBR引导

新发现的一件勒索软件主要是为了摧毁受害者的文件而创建的,而不是将其加密并持有赎金。

661
来自专栏源哥的专栏

基于linux的嵌入IPv4协议栈的内容过滤防火墙系统(2)-概要引言

概要:在Linux系统下,具有图形界面的防火墙系统很少,而包含内容过滤的防火墙系统更可以说是少之又少,本程序不仅具有防火墙功能,而且可以对rar、zip压缩格式...

623
来自专栏禹都一只猫博客

记一次作死玩了一条Linux禁令!

2257
来自专栏FreeBuf

2015年数据库漏洞威胁报告

互联网就像空气,彻底的融入我们的生活之中。因此我们愈发习惯把越来越多的数据保存在网上以换取更便捷的服务。不过,随之而来的安全事件无不让人触目惊心。 回忆2015...

2217
来自专栏黑白安全

渗透测试

渗透测试,也称为笔测试,是针对您的计算机系统的一个模拟网络攻击,用于检查可利用的漏洞。在Web应用程序安全性方面,渗透测试通常用于增强Web应用程序防火墙(WA...

1291
来自专栏FreeBuf

Chrome漏洞可致恶意站点在用户在不知情的情况下录制音频和视频

有没有可能我们在不知情的情况下被电脑录音和录像?黑客可以从而听到你的每一通电话,看到你周围的人。 听来恐怖,但有的时候我们真的无法完全知晓我们的电脑在干什么。正...

2946

扫码关注云+社区