漏洞分析| Humax WiFi路由器多个漏洞可获取管理员权限
漏洞分析| Humax WiFi路由器多个漏洞可获取管理员权限
其实是之前的漏洞了,只不过没有放出来。要poc可以私我。
1
漏洞概述
2017年5月,来自Trustwave SpiderLabs的Felipe Cerqueira和Thiago Musa在HUMAX WiFi路由器型号HG-100系列中发现了一个远程漏洞。
该漏洞会造成路由器设备备份文件和敏感信息泄露,导致用户可以获取路由器的管理员密码,远程控制该路由器。
2
漏洞原理
漏洞一:
该漏洞首先构造绕特殊的请求绕过管理控制台的身份验证。这是因为路由器在“url/api”中为某些方法返回应答是时无法验证会话令牌。攻击者可以使用此漏洞检索敏感信息,如私有/公共IP地址,SSID名称和密码。cookie登录基本上是在base64中包含uid和pwd的json数据:登录名= { “UID”: “管理员”, “PWD”: “9039749000”};
在下面的示例中,您可以看到对路由器的请求,而不提供任何身份验证以及包含敏感数据(如SSID名称,IP地址和WiFi密码)的响应。
漏洞二:
此漏洞允许攻击者绕过身份验证,以访问备份功能以保存(/view/basic/GatewaySettings.bin)和恢复(/view/basic/ConfigUpload.html)配置。两者都忽略cookies”login”和”login_token”的缺失,并将接受下载和上传完整路由器配置的请求。
通过使用“/view/basic/GatewaySettings.bin”和“/view/basic/ConfigUpload.html”提供的备份生成/还原功能,我们可以查看,更改并最终恢复特制配置。作为这种类型的漏洞的一个示例,攻击者可以使用它来更改DNS配置,并将流量重定向到由其控制的服务器,以窃取私人信息,如密码或银行帐户信息。
文件GatewaySettings.bin的仔细分析也显示管理密码存储在那里,无需加密。
基本上,文件由一个头组成,从字节96组成,它以base64编码。
在代码00 00 4c b4(这是前面的数据的长度)之后,所有以下数据都是用base64编码的。解码后bin文件很有意义。
vaf@ubuntu:~/Desktop$
hexdump -C GatewaySettings.bin
计算了下,总共有96字节。
我们要的数据就是文件头下面的,字节数:19652-96=19556
tail -c 19568 GatewaySettings.bin | base64 -d |hexdump -C|grep -C 5 admin
在这个例子中我们可以看到用户'admin'的明文中的密码'sav!o1234'。有一个用户'root'使用密码'humax'。此帐户的具体用途尚未确定。
如果你的路由器允许通过Internet进行远程配置管理,攻击者可以轻松获得访问权限,并更改将影响Internet流量的配置。然而,即使在面向Internet的接口上配置管理不可用,攻击者仍然可以利用WiFi路由器在公共场所的漏洞,例如在咖啡馆或机场。
3
漏洞影响
HG100R全系列
成功复现版本:HG100R-L4 、HG100R-L2
4
修复建议
目前官方暂无对此漏洞响应,发布补丁。
建议将设备与公网隔离,解决方法:禁用“远程配置管理”选项,如下所示:
往期精彩