亚马逊精选最畅销TP-Link路由器固件存在漏洞附带易受攻击的固件,这会使他们的用户面临中间人攻击和拒绝服务攻击的风险。Cyber??News研究人员在TP-LinkAC1200ArcherC50(v6)路由器的默认固件和Web界面应用程序中发现了许多安全漏洞,这可能会使用户面临中间人攻击和拒绝服务攻击的风险.TP-LinkTechnologiesCo.,Ltd.总部位于深圳,是全球最大的面向消费者的wifi网络产品制造商,年销量达1.5亿台,占据全球消费者WLAN市场42%的份额。TP-Link路由器由世界领先的制造商生产,并由全球最大的在线零售商亚马逊销售。TP-Link路由器非常受欢迎,以至于某些型号经常在“wifi路由器”类别中获得“亚马逊精选”徽章。然而,很少有家庭用户意识到有多少流行的消费级路由器型号存在安全风险。从默认的管理员密码到未修补的漏洞,甚至是预装的后门,购买有缺陷的路由器可能会带来灾难性的后果,例如网络渗透、中间人攻击和路由器接管。输入TP-LinkAC1200ArcherC50(v6):这款最畅销的“亚马逊之选”wifi路由器在英国的零售价为34.50英镑(约合48美元),主要是在欧洲市场。除了与易受攻击的固件一起出售外,该路由器还有另一个严重缺陷:其网络界面应用程序的安全措施不佳且加密薄弱,这可能会使大量用户面临网络攻击的风险。如果您碰巧拥有TP-LinkAC1200ArcherC50(v6)路由器,请立即安装最新的固件更新。我们发现了什么在我们对TP-LinkAC1200ArcherC50(v6)路由器进行安全分析期间,我们在路由器固件的默认版本及其Web界面应用程序中发现了多个未修补的漏洞:已知的安全漏洞。默认情况下启用WPS,这可能允许威胁行为者暴力破解路由器。在退出路由器应用程序后,会话令牌不会在服务器端被删除,并且会被接受用于后续授权程序。路由器的管理员凭据和配置备份文件使用攻击者可以轻松解密的弱协议进行加密。路由器Web界面应用程序的默认版本存在多种不良安全做法和漏洞,包括点击劫持、字符集不匹配、cookie松散、私有IP泄漏、HTTPS加密不充分等。另一方面,大多数影响旧版本路由器固件的已知缺陷,例如ping期间的代码执行和路径遍历漏洞,都已在我们分析的版本中进行了修补。此外,在路由器Web界面应用程序上登录和注销期间的HTTP流量现在使用置换的base64协议进行加密。然而,一些缺陷只修补了一半。例如,路由器的后端似乎仍然相对不安全,这意味着其他人可能会在Web界面中找到入口点并重新利用先前已知的缺陷。7月18日,Cyber??News联系TP-Link征求意见,并了解他们是否知道这些漏洞以及他们计划采取哪些措施来保护客户。在我们发送有关受感染TP-Link设备的信息后,TP-Link表示该公司将强制对受感染设备进行固件更新,用户将通过其管理界面收到有关这些更新的“相关通知”,无论“他们是否使用设备通过网络终端或移动应用程序Tether进行管理。”默认固件版本中存在大量已知漏洞。我们的初步调查发现,路由器固件使用的服务与MITRE常见漏洞和披露(CVE)数据库中列出的服务不同。39个公共安全漏洞匹配。然后,我们通过将漏洞分为4类来缩小此列表的范围:最有可能可能可能可能不可利用确定他们的可能性。正如我们所看到的,39个漏洞中有24个被识别为路由器固件中可能存在的潜在漏洞,其中15个被识别为“无法利用”。令人担忧的是,路由器上的七个已知漏洞已被确定为“最有可能”:“释放后使用”漏洞允许潜在的威胁参与者通过删除网络命名空间对路由器发起拒绝服务攻击。“PPPoL2TP”功能允许潜在的攻击者通过利用路由器套接字之间的数据结构差异来获得网络特权。路由器内核中的多个整数溢出允许威胁参与者发起拒绝服务攻击或获得特权。如果攻击者利用此cURL漏洞,路由器所有者的凭据可能会受到损害,从而导致敏感信息泄露。另一个cURL漏洞允许潜在的威胁参与者窃取用户数据并发起拒绝服务攻击。Dropbear中的scp.c漏洞可能允许潜在的攻击者绕过访问限制并修改目标目录的权限。CVE-2014-3158漏洞允许威胁参与者访问特权选项和“[损坏]网络上与安全相关的变量。”此外,还有15个附加漏洞被认为“可能存在”。尽管如此,这些都没有经过实际测试,因为我们找不到它们可能存在的直接参考或概念证明。另外两个漏洞——CVE-2011-2717和CVE-2015-3310——被认为“不太可能”,但也可能存在于路由器中。TP-LinkWeb界面应用程序代码揭示了低于标准的安全实践在识别出固件中的多个潜在漏洞后,我们使用Nmap、BurpSuite和OWASPZAP渗透测试工具扫描了路由器的默认Web界面应用程序,并对其进行了测试分析。扫描结果揭示了路由器的Web界面应用程序中的许多不合标准的安全做法和漏洞,可能会被威胁参与者利用:该应用程序默认不支持HTTPS,允许潜在的攻击者拦截网络流量。启用后,接口内的HTTPS使用弱TLS1.0和TLS1.1加密协议实现。该应用程序使用Base64编码方案,潜在的中间人攻击者可以轻松对其进行解码。此接口有一个CookieSlack漏洞,可能允许威胁参与者进行指纹识别。字符集不匹配允许潜在的威胁行为者强制Web浏览器进入内容嗅探模式。应用内图像的内容类型不正确,这可能允许攻击者将恶意脚本伪装成图像。未设置X-Content-Type-Options标头,导致允许内容嗅探。该应用程序的JavaScript代码使用“Eval()”函数,这可能允许潜在的攻击者将恶意代码注入该函数。路由器的Web界面容易受到反向标签攻击,攻击者可以使用框架页面重写它们并用钓鱼页面替换它们。不设置内容安全策略头,使浏览器可以在网页界面页面加载任何类型的内容,包括恶意代码。此接口允许公开私有IP,从而允许潜在的威胁行为者识别本地网络上的受害者。恶意行为者可以在界面中使用框架响应来诱骗用户无意中单击与预期页面不同的页面上的按钮或链接(也称为点击劫持)。每秒向路由器发送足够多的请求,路由器变得无响应,这意味着拒绝服务漏洞。我们还注意到默认固件版本使用DSA和RSA算法进行密钥加密——这是9年前由DropbearSSH加密服务实现的,它本身存在多个漏洞。最后,我们决定检查路由器的固件是否仍然存在其他安全研究人员在其先前版本中发现的多个严重漏洞。幸运的是,旧版本中发现的漏洞在Cyber??News测试的版本中不再存在,这意味着新用户不再面临路径遍历攻击和未经身份验证的访问尝试。一个为期两年的严重漏洞除了路由器配置文件的加密不佳之外,我们发现并验证的最严重的安全漏洞之一是2019年的一个漏洞,该漏洞仅在路由器固件的默认版本中进行了部分修补。如果攻击者拦截来自具有管理员权限的用户的网络流量并成功登录到路由器,他们将能够提取他们的JSESSIONIDcookie,结合正确的硬编码Referrer标头,我们可以访问任何CGI脚本,包括备份路由器配置文件,我们可以使用可追溯到2018年的公开工具轻松解密。解密后的配置文件存储了路由器的多个信息和敏感变量,包括:管理员密码用于无线上网的WPS密钥硬件版本软件版本网络名称(SSID)另外,路由器的配置文件在后台进行解释,可能会让攻击者通过解密配置文件,编辑配置文件,将重新加密后的恶意配置文件上传回,进行命令注入攻击路由器。为什么运送固件过时的路由器很危险随着COVID-19大流行迫使数百万人远程工作,家用路由器已成为网络犯罪分子的重要目标。在此过程中,该公司发现几乎不可能充分保护所有员工的网络设备。尽管路由器制造商会定期发布固件更新以解决新漏洞,但查找、下载和安装这些更新的责任落在普通用户身上。然而,即使是经验丰富的IT专业人员也常常忘记让他们的路由器软件保持最新状态。这意味着大多数家用路由器将无限期地保留其固件的默认版本,这也是犯罪分子将其视为目标的原因之一。考虑到这一点,TP-Link一直在其最畅销的路由器上保留过时的固件,这可能会使无数TP-Link客户面临恶意行为者攻击的风险。AC1200ArcherC50(v6)是一款不错的路由器吗?大概。开箱即用是否安全?除非制造商强制对其进行更新。简单地在公司网站上发布更新或通过应用程序发送通知不一定能解决问题。我们如何收集和分析数据为了进行这项调查,我们拆解了亚马逊最畅销的TP-LinkAC1200ArcherC50(v6)路由器,访问其外壳终端,并分析了路由器固件(“ArcherC50(EU)_V6_200716”)和网络界面。在拆开路由器时,我们发现了它的UART串口,并通过中间控制器将开放的串口连接到计算机来访问它的后端。这使我们能够提取路由器的默认固件,查看其引导加载顺序,并将路由器使用的服务和小程序的版本与MITRECVE数据库交叉引用,我们将其用作识别任何潜在安全漏洞的标准。然后,我们分析了路由器的Web界面,以验证在MITRECVE数据库中发现的任何潜在漏洞。此外,我们通过拦截对其CGI控制器的合法调用来提取路由器的弱加密配置文件。然后我们能够解密此配置文件以揭示管理员凭据和路由器的WPS访问密钥。这使我们能够发现其他低于标准的安全措施,包括弱加密协议、默认启用的WPS以及在管理员注销程序后仍保持活动状态的访问令牌。拆卸路由器为了分析路由器的固件是否存在潜在的安全漏洞,我们首先必须访问路由器的shell终端。我们首先从物理上拆卸设备本身并揭开它的串口。在板上找到路由器的串口后,我们通过USB转换器将路由器连接到另一台计算机,以便分析其固件。通过在连接的计算机上运行一组命令并打开路由器,我们能够访问路由器的shell终端。提取数据在获得对路由器的shell访问权限后,我们收集了以下信息:路由器的启动加载顺序。/etc/passwd文件夹的内容,用于跟踪所有注册用户并存储他们的信息,包括用户名和密码。/var/tmp/dropbear文件夹的内容,其中存储了路由器的SSH密钥和SSH密码。可用命令列表、$PATH变量和可用服务列表。收集原始数据后,我们的下一步是识别任何潜在的漏洞,然后手动验证它们以查看它们是否可以被威胁参与者利用,至少在理论上是这样。我们通过将数据与MITRECVE数据库交叉引用来做到这一点,这帮助我们识别了39个潜在的安全漏洞,然后手动验证它们以查看它们是否可以被威胁参与者利用。最后,我们使用Nmap、BurpSuite和OWASPZAP渗透测试工具扫描了路由器的Web界面。这使我们能够识别TP-Link用于存储和传输敏感信息的加密算法,从而揭示路由器Web界面应用程序中不合标准的安全做法和漏洞。本文翻译自:https://cybernews.com/security/amazon-tp-link-router-ships-with-vulnerable-firmware/#discovered如有转载请注明原文地址。
