測試摘要

2020年2月28日，Palo Alto Networks的42位研究人員在運行其最新固件的D-Link無線云路由器中發(fā)現(xiàn)了六個新漏洞。

該漏洞是在D-Link路由器的DIR-865L模型中發(fā)現(xiàn)的，旨在用于家庭網(wǎng)絡。當前從家庭工作的趨勢增加了對家庭網(wǎng)絡進行惡意攻擊的可能性，這使得更新我們的網(wǎng)絡設備變得更加必要。

由于這些漏洞共享相似的代碼庫，因此某些漏洞可能還會出現(xiàn)在路由器的較新型號中。以下是找到的六個漏洞：

CVE-2020-13782：在命令中使用特殊元素的不正確中和(命令注入)

CVE-2020-13786：跨站請求偽造(CSRF)

CVE-2020-13785：加密強度不足

CVE-2020-13784：偽隨機數(shù)生成器中的可預測種子

CVE-2020-13783：敏感信息的明文存儲

CVE-2020-13787：敏感信息的明文傳輸

這些漏洞的不同組合可能導致重大風險。例如，惡意用戶可以嗅探網(wǎng)絡流量以竊取會話Cookie。利用這些信息，他們可以訪問管理門戶進行文件共享，從而使他們能夠上傳任意惡意文件，下載敏感文件或刪除基本文件。他們還可以使用cookie運行任意命令來進行拒絕服務攻擊。

具有威脅防護功能的Palo Alto Networks下一代防火墻通過自定義簽名保護免受這種威脅。

D-Link已發(fā)布強烈建議消費者安裝的補丁，可在以下鏈接中找到該補丁：D-Link公告

CVE-2020-13782：對命令中使用的特殊元素進行不正確的中和(命令注入)

該路由器的Web界面由名為cgibin.exe的后端引擎控制。大多數(shù)網(wǎng)頁請求都發(fā)送到此控制器。如果發(fā)出對scandir.sgi的請求，則惡意行為者可以注入具有管理特權(quán)的任意代碼，以在路由器上執(zhí)行。

圖1.惡意http請求

上圖顯示了可以對__ajax_explorer.sgi進行的GET請求，該請求將發(fā)送到scandir.sgi并導致路由器重新啟動。這種特殊的攻擊將導致拒絕服務。

為了使攻擊生效，請求中必須包含四個參數(shù)：

• action: 這必須是MNT或umnt

• path: 這可以是任何東西

• where: 這可以是任何東西

• en:此參數(shù)是命令注入發(fā)生的位置。在這種情況下 ; 重新啟動 ; 使路由器重啟。

此攻擊需要身份驗證，但是可以通過竊取活動會話cookie來進行，因為該網(wǎng)頁也容易受到跨站點請求偽造的攻擊。從以后的漏洞中可以看出，竊取會話cookie對于攻擊者而言是微不足道的。

CVE-2020-13786：跨站請求偽造(CSRF)

路由器的Web界面上有多個頁面容易受到CSRF的攻擊。這意味著攻擊者可以在不知道密碼的情況下嗅探Web流量并使用會話信息來訪問網(wǎng)站的受密碼保護的部分。

先前的漏洞已經(jīng)提到可以使用CSRF進行命令注入。還有一個SharePort Web Access門戶，它是位于端口8181上的用于文件共享的管理網(wǎng)站。

下面是惡意用戶嗅探到的流量的視圖，他們可以在其中使用uid繞過登錄：

圖2. UID的明文傳輸

如果攻擊者直接導航到folder_view.php頁面，則他們可以繞過登錄屏幕，但沒有任何功能：

圖3.未經(jīng)身份驗證的SharePort Web訪問

如果他們只是將cookie的值更改為有效會話的uid，那么他們將完全繞過身份驗證：

圖4.帶有身份驗證的SharePort Web Access

攻擊者現(xiàn)在可以執(zhí)行三種不同的操作：

• 查看所有文件的內(nèi)容。

• 刪除任何或所有文件。

• 上載新文件，包括惡意軟件。

CVE-2020-13785：加密強度不足

當用戶登錄端口8181上的SharePort Web Access門戶時，有足夠的明文形式發(fā)送的信息供偵聽攻擊者通過蠻力攻擊確定用戶的密碼。

圖5.挑戰(zhàn)的明文傳輸

以上信息從路由器發(fā)送到客戶端。然后，客戶端將計算要發(fā)送的密碼，如下所示：

字符串MD5 HMAC等于用戶名+challenge，并以實際密碼作為密鑰。

計算結(jié)果以明文形式發(fā)送回路由器：

通過嗅探此握手，攻擊者現(xiàn)在可以訪問以下信息：

MD5 HMAC算法的數(shù)據(jù)輸入= id +challenge

哈希算法的結(jié)果= 密碼

利用此信息，攻擊者可以通過完全離線進行暴力攻擊來確定實際密碼。

CVE-2020-13784：偽隨機數(shù)生成器中的可預測種子

路由器的代碼庫中有一種算法可以隨機計算會話cookie，但是結(jié)果是可以預測的。攻擊者只需要知道用戶登錄的大概時間即可確定會話cookie，即使該會話cookie受加密保護也是如此。

每次用戶登錄時，路由器都會用Cookie，challenge和公鑰進行響應：

圖7.質(zhì)詢，Cookie和公鑰的明文傳輸

該信息似乎是隨機的，但是它是由一個名為get_random_string的函數(shù)創(chuàng)建的。該函數(shù)將為隨嘗試登錄時間生成的隨機數(shù)提供種子。因此，計算結(jié)果可以由知道請求時間的攻擊者預測。

圖8.隨機函數(shù)種子的分解

此漏洞的結(jié)果是，即使路由器使用HTTPS加密會話信息，老練的攻擊者仍然可以確定進行CSRF攻擊所需的信息。

CVE-2020-13783：敏感信息的明文存儲

該tools_admin.php頁面存儲明文管理員密碼。為了使攻擊者獲得密碼，他們將需要對已登錄計算機的物理訪問權(quán)。物理訪問是必需的，因為憑據(jù)不會通過網(wǎng)絡以明文形式發(fā)送。通過物理訪問，他們可以通過查看頁

HTML源代碼來查看密碼：

圖9. Tools_admin.php網(wǎng)頁

圖10.密碼的明文存儲

CVE-2020-13787：敏感信息的明文傳輸

該adv_gzone.php頁面用于設置一個來賓WiFi網(wǎng)絡。此網(wǎng)絡上的安全性有多個選項。一種選擇是有線等效保密性(WEP)，它于2004年棄用，不建議用于保護無線網(wǎng)絡的安全。如果管理員選擇此選項，密碼將以明文形式通過網(wǎng)絡發(fā)送：

圖11.密碼的明文傳輸

嗅探網(wǎng)絡流量的惡意用戶可以看到來賓網(wǎng)絡使用的密碼。

結(jié)論

總之，D-Link DIR-865L家用無線路由器具有多個漏洞。由于在家中工作的人數(shù)眾多，惡意行為者有動機攻擊用于家庭網(wǎng)絡的路由器。

這些漏洞可以一起使用，以運行任意命令，泄露數(shù)據(jù)，上傳惡意軟件，刪除數(shù)據(jù)或竊取用戶憑據(jù)。如果將路由器設置為使用HTTP，則最容易進行這些攻擊，但是，如果路由器使用HTTPS，則高級攻擊者仍可以計算所需的會話信息。

Palo Alto Networks通過以下方式保護客戶：

• 具有威脅防護許可證的下一代防火墻可以通過威脅防護簽名58410以最佳實踐來阻止攻擊。

• 推薦建議

• 安裝帶有修補程序的最新版本的固件。可以在D-Link網(wǎng)站上找到固件，他們在其中發(fā)布了漏洞：D-Link公告。

• 默認所有HTTPS流量，以防御會話劫持攻擊。

• 更改路由器上的時區(qū)，以防御正在計算隨機生成的會話ID的惡意行為者。您可以在D-Link的網(wǎng)站上找到操作方法。

• 在修補之前，請勿使用此路由器共享敏感信息。

總結(jié)

以上是生活随笔為你收集整理的上的网页显示拒绝访问_DLink家庭路由器上发现6个漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。