Amazon’s Choice最暢銷的TP-Link路由器固件易受攻擊

我們會有自己的貓 事件 剛剛發(fā)布收藏導(dǎo)語：TP-Link AC1200 Archer C50 (v6)路由器附帶易受攻擊的固件，這可能會使其用戶面臨中間人攻擊和拒絕服務(wù)攻擊的風(fēng)險。

[[424330]]

CyberNews研究人員在TP-Link AC1200 Archer C50 (v6)路由器的默認(rèn)固件和Web界面應(yīng)用程序中發(fā)現(xiàn)了許多安全漏洞，這可能會使其用戶面臨中間人攻擊和拒絕服務(wù)攻擊的風(fēng)險。

總部位于深圳的TP-Link Technologies Co, Ltd.是全球第一大面向消費者的wifi網(wǎng)絡(luò)產(chǎn)品制造商，年銷量達1.5億臺，在全球消費者WLAN市場中占有42%的份額。

TP-Link路由器由世界領(lǐng)先的制造商生產(chǎn)并由全球最大的在線零售商亞馬遜銷售。TP-Link路由器非常受歡迎，以至于某些型號經(jīng)常在“wifi路由器”類別中獲得“Amazon’s Choice”徽章。

然而，很少有家庭用戶意識到有多少流行的消費級路由器型號存在安全隱患。從默認(rèn)的管理員密碼到未修補的漏洞，甚至是預(yù)裝的后門，購買存在問題的路由器將會帶來災(zāi)難性的后果，例如網(wǎng)絡(luò)滲透、中間人攻擊和路由器接管。

進入TP-Link AC1200 Archer C50 (v6)：這款暢銷的“亞馬遜精選”wifi路由器在英國的零售價為34.50英鎊(約合48美元)，主要在歐洲市場銷售。

除了與易受攻擊的固件一起出售之外，該路由器還存在另一個嚴(yán)重缺陷：其Web界面應(yīng)用程序的安全實踐欠佳且加密薄弱，這可能使眾多用戶面臨網(wǎng)絡(luò)攻擊的風(fēng)險。

如果您碰巧擁有TP-Link AC1200 Archer C50 (v6)路由器，請立即安裝最新的固件更新。

我們發(fā)現(xiàn)了什么

在我們對TP-Link AC1200 Archer C50 (v6)路由器進行安全分析的過程中，我們在路由器固件的默認(rèn)版本及其Web界面應(yīng)用程序中發(fā)現(xiàn)了多個未修補的漏洞：

• 路由器附帶過時的固件，容易受到數(shù)十個已知安全漏洞的攻擊。
• 默認(rèn)情況WPS處于啟用狀態(tài)，這可能允許威脅行為者對路由器進行暴力破解。
• 注銷路由器應(yīng)用程序后，會話token不會在服務(wù)器端刪除，并被接受用于后續(xù)授權(quán)程序。
• 路由器的管理員憑據(jù)和配置備份文件使用弱協(xié)議加密，攻擊者可以輕松解密。
• 路由器的Web界面應(yīng)用程序的默認(rèn)版本存在多種不良安全實踐和漏洞，包括點擊劫持、字符集不匹配、cookie松弛、私有IP泄露、HTTPS加密不足等等。

另一方面，影響舊版本路由器固件的大多數(shù)已知缺陷，例如ping過程中的代碼執(zhí)行和路徑遍歷漏洞，都已在我們分析的版本中進行了修補。此外，路由器Web界面應(yīng)用程序上登錄和注銷過程中的HTTP流量現(xiàn)在使用排列的base64協(xié)議進行加密。

然而，一些缺陷只是修補了一半。例如，路由器的后端似乎仍然相對不安全，這意味著其他人可能會在Web界面中找到一個入口點并重新利用以前已知的缺陷。

7月18日，CyberNews聯(lián)系TP-Link征求意見，并了解他們是否知道這些缺陷，以及他們計劃采取哪些措施來保護客戶。

在我們發(fā)送了受攻擊的TP-Link設(shè)備的信息后，TP-Link表示公司將強制對受攻擊的設(shè)備進行固件更新，用戶將通過他們的管理界面收到有關(guān)這些更新的“相關(guān)通知”，無論“他們是通過網(wǎng)絡(luò)終端還是移動應(yīng)用程序Tether進行設(shè)備管理。”

默認(rèn)固件版本中存在大量已知漏洞

我們的初步調(diào)查發(fā)現(xiàn)，路由器固件使用的服務(wù)與MITRE常見漏洞和暴露(CVE)數(shù)據(jù)庫中列出的39個公開的安全漏洞相匹配。然后，我們通過將漏洞分為4類來縮小此列表的范圍：

• 最有可能出現(xiàn)
• 很可能出現(xiàn)
• 可能出現(xiàn)
• Unexploitable

我們通過調(diào)查路由器的內(nèi)核及其服務(wù)的版本號，以及我們可以在GitHub上查找的以前的詳細報告和開源代碼來確定它們的可能性。

正如我們所看到的，39個漏洞中有24個被確定為可能存在于路由器固件中的潛在漏洞，其中15個被確認(rèn)為“Unexploitable”。

令人擔(dān)憂的是，路由器上有7個已知漏洞被確認(rèn)為“最有可能出現(xiàn)”的：

• “釋放后使用”漏洞允許潛在威脅參與者通過刪除網(wǎng)絡(luò)命名空間來對路由器發(fā)起拒絕服務(wù)攻擊。
• “PPPoL2TP”功能允許潛在攻擊者通過利用路由器套接字之間的數(shù)據(jù)結(jié)構(gòu)差異來獲得網(wǎng)絡(luò)特權(quán)。
• 路由器內(nèi)核中的多個整數(shù)溢出讓威脅行為者發(fā)起拒絕服務(wù)攻擊或獲得特權(quán)。
• 如果攻擊者利用此cURL漏洞，則可能會泄露路由器所有者的憑據(jù)，從而導(dǎo)致敏感信息的泄露。
•  另一個cURL漏洞允許潛在的威脅行為者竊取用戶數(shù)據(jù)并發(fā)起拒絕服務(wù)攻擊。
• Dropbear中存在的scp.c漏洞可讓潛在攻擊者繞過訪問限制并修改目標(biāo)目錄的權(quán)限。
•  CVE-2014-3158漏洞允許威脅行為者來訪問網(wǎng)絡(luò)上的特權(quán)選項和“[corrupt]安全有關(guān)的變量。”

此外，還有15個額外漏洞被視為“可能存在”。話雖如此，這些都沒有經(jīng)過實際測試，因為我們找不到直接的參考資料或概念證明來確定它們是很可能存在的。

另外兩個漏洞——CVE-2011-2717和CVE-2015-3310——被認(rèn)定為“不太可能”，但也可能存在于路由器上。

TP-Link Web界面應(yīng)用程序代碼揭示了低于標(biāo)準(zhǔn)的安全實踐

在確定固件中的許多潛在漏洞后，我們通過使用Nmap、BurpSuite和OWASP ZAP滲透測試工具掃描路由器的默認(rèn)web界面應(yīng)用程序，并對其進行了分析。

掃描結(jié)果顯示，路由器的Web界面應(yīng)用程序中存在許多不合標(biāo)準(zhǔn)的安全實踐和漏洞，它們可能會被威脅行為者利用：

• 該應(yīng)用默認(rèn)不支持HTTPS，允許潛在攻擊者攔截網(wǎng)絡(luò)流量。
• 啟用后，接口內(nèi)的HTTPS使用弱TLS 1.0和TLS 1.1加密協(xié)議實現(xiàn)。
• 該應(yīng)用程序使用Base64編碼方案，可以被潛在的中間人攻擊者輕松解碼。
• 該接口存在Cookie Slack漏洞，這可能允許威脅參與者進行指紋識別。
• 字符集不匹配允許潛在的威脅參與者強制Web瀏覽器進入內(nèi)容嗅探模式。
• 應(yīng)用程序內(nèi)圖像上的內(nèi)容類型不正確，這可能會導(dǎo)致攻擊者將惡意腳本偽裝成圖像。
• 未設(shè)置X-Content-Type-Options標(biāo)題，導(dǎo)致允許進行內(nèi)容嗅探。
• 該應(yīng)用程序的JavaScript代碼中使用了“Eval()”函數(shù)，這可能允許潛在攻擊者向該函數(shù)中注入惡意代碼。
• 路由器的Web界面容易受到反向tabnabbing攻擊，攻擊者可以使用框架頁面來重寫它們并將其替換為網(wǎng)絡(luò)釣魚頁面。
• 未設(shè)置內(nèi)容安全策略header，使得Web瀏覽器可以加載Web界面頁面內(nèi)的任何類型的內(nèi)容，包括惡意代碼。
• 該接口允許披露私有IP，這讓潛在的威脅行為者可以識別本地網(wǎng)絡(luò)中的受害者。
• 惡意行為者可以使用界面內(nèi)的可框架響應(yīng)來誘使用戶無意中點擊不同頁面上的按鈕或鏈接，而不是預(yù)期頁面(也稱為點擊劫持)。
• 每秒向路由器發(fā)送足夠多的請求，路由器就會失去響應(yīng)，這意味著存在拒絕服務(wù)漏洞。

我們還注意到，默認(rèn)固件版本使用DSA和RSA算法進行密鑰加密-這是Dropbear SSH加密服務(wù)9年前實現(xiàn)的，其本身存在多個漏洞。

最后，我們決定檢查路由器的固件是否仍然存在其他安全研究人員在其先前版本中發(fā)現(xiàn)的多個嚴(yán)重漏洞。幸運的是，舊版本中發(fā)現(xiàn)的缺陷在CyberNews測試的版本中不再存在，這意味著新用戶不再面臨路徑遍歷攻擊和未經(jīng)身份驗證的訪問嘗試。

一個長達兩年的嚴(yán)重漏洞

除了路由器配置文件的加密不佳，我們發(fā)現(xiàn)并驗證的最嚴(yán)重的安全漏洞之一是2019年的一個漏洞，該漏洞僅在路由器固件的默認(rèn)版本中進行了部分修補。

如果攻擊者攔截了來自具有管理員權(quán)限并成功登錄路由器的用戶的網(wǎng)絡(luò)流量，他們將能夠提取其JSESSIONID cookie，結(jié)合正確的硬編碼Referrer header，我們就可以訪問任何CGI腳本，包括路由器配置文件的備份，我們可以使用可追溯到2018年的公開工具輕松解密。

解密后的配置文件存儲了路由器的多個信息和敏感變量，包括：

• 管理員密碼
• 無線上網(wǎng)的WPS密鑰
• 硬件版本
• 軟件版本
• 網(wǎng)絡(luò)名稱(SSID)

此外，路由器的配置文件在后端進行解釋，這可能讓攻擊者通過解密配置文件、編輯配置文件并將重新加密的惡意配置文件上傳回路由器來進行命令注入攻擊。

為什么使用過時固件運送路由器很危險

隨著新冠疫情迫使數(shù)百萬人遠程工作，家庭路由器已成為網(wǎng)絡(luò)犯罪分子的重要目標(biāo)。在此過程中公司發(fā)現(xiàn)要充分保護所有員工的網(wǎng)絡(luò)設(shè)備幾乎是不可能的。

盡管路由器制造商會定期發(fā)布固件更新以解決新漏洞，但查找、下載和安裝這些更新的責(zé)任還是落在了普通用戶身上。然而，即使是經(jīng)驗豐富的IT專業(yè)人員也經(jīng)常忘記讓他們的路由器軟件保持最新。這意味著大多數(shù)家用路由器將無限期地保留其固件的默認(rèn)版本，這也是不法分子認(rèn)為它們作為目標(biāo)的原因之一。

考慮到這一點，TP-Link一直在暢銷路由器上保留過時的固件，這可能會讓數(shù)不清的TP-Link客戶面臨惡意參與者攻擊的風(fēng)險。

AC1200 Archer C50 (v6)是一款好的路由器嗎?或許是吧。開箱即用是否安全?除非制造商對其進行強制更新。僅僅在公司網(wǎng)站上發(fā)布更新或通過應(yīng)用程序發(fā)送通知不一定能解決這個問題。

我們?nèi)绾问占头治鰯?shù)據(jù)

為了進行這項調(diào)查，我們拆解了亞馬遜最暢銷的TP-Link AC1200 Archer C50 (v6)路由器，訪問了其外殼終端，并使用Nmap、BurpSuite和OWASP ZAP滲透測試工具分析了路由器固件(“Archer C50(EU)_V6_200716”)和web界面。

在拆開路由器時，我們發(fā)現(xiàn)了它的UART串行端口，并通過使用中間控制器將打開的串口連接到計算機來訪問其后端終端。

這使我們能夠提取路由器的默認(rèn)固件，查看其引導(dǎo)加載順序，并將路由器使用的服務(wù)和小程序的版本與MITRE CVE數(shù)據(jù)庫進行交叉引用，我們將其用作識別任何潛在安全性的標(biāo)準(zhǔn)缺陷。然后，我們分析了路由器的Web界面，以驗證在MITRE CVE數(shù)據(jù)庫中發(fā)現(xiàn)的任何潛在漏洞。

此外，我們通過攔截對其CGI控制器的合法調(diào)用來提取路由器的弱加密配置文件。然后我們能夠解密此配置文件以顯示管理員憑據(jù)和路由器的WPS訪問密鑰。

這使我們能夠發(fā)現(xiàn)其他低于標(biāo)準(zhǔn)的安全實踐，包括弱加密協(xié)議、默認(rèn)啟用的WPS，以及在管理員注銷程序后保持活動的訪問token。

拆解路由器

為了分析路由器固件是否存在潛在的安全漏洞，我們首先必須獲得對路由器外殼終端的訪問權(quán)限。

我們首先對設(shè)備本身進行物理分解，并揭開其串行端口。

在電路板上找到路由器的串口后，我們通過USB轉(zhuǎn)換器將路由器連接到另一臺計算機上，這樣我們就可以對其固件進行分析。

我們能夠通過在連接的計算機上運行一組命令并打開路由器來訪問路由器的shell終端。

提取數(shù)據(jù)

在獲得對路由器的外殼訪問權(quán)限后，我們收集了以下信息：

• 路由器的啟動加載順序。
• /etc/passwd文件夾的內(nèi)容，用于跟蹤所有注冊用戶并存儲他們的信息，包括用戶名和密碼。
• /var/tmp/dropbear文件夾的內(nèi)容，其中存儲了路由器的SSH密鑰和SSH密碼。
• 可用命令列表、$PATH變量和可用服務(wù)列表。

收集原始數(shù)據(jù)后，我們的下一步是識別任何潛在的漏洞，然后手動驗證它們，看看它們是否可以被威脅行為者利用，至少在理論上是這樣。我們通過將數(shù)據(jù)與MITRE CVE數(shù)據(jù)庫進行交叉引用來做到這一點，該數(shù)據(jù)庫幫助我們識別了39個潛在的安全漏洞，然后手動驗證它們以查看它們是否會被威脅行為者利用。

最后，我們使用Nmap、BurpSuite和OWASP ZAP滲透測試工具掃描了路由器的Web界面。這使我們能夠識別TP-Link用于存儲和傳輸敏感信息的加密算法，揭示路由器Web界面應(yīng)用程序中存在的不合標(biāo)準(zhǔn)的安全實踐和漏洞。

本文翻譯自:https://cybernews.com/security/amazon-tp-link-router-ships-with-vulnerable-firmware/#discovered如若轉(zhuǎn)載，請注明原文地址。