7月早些时间，研究人员爆出D-link 路由器固件镜像泄露了用来加密专用固件二进制文件的密钥。近日，又有ACE 团队研究人员爆出D-Link路由器的5个严重安全漏洞，攻击者利用这些漏洞可以实现网络入侵。此外，由于部分设备已经不再更新，因此无法修复。

漏洞概述

这些漏洞包括反射型XSS攻击、缓冲区溢出漏洞、认证绕过和任意代码执行，分别是：

CVE-2020-15892

CVE-2020-15892漏洞是基于栈的缓冲区溢出漏洞，漏洞位于ssi 二进制文件中，可能会引发任意命令执行。

CVE-2020-15893

CVE-2020-15893漏洞是位于UPnP中的命令注入漏洞，可以通过伪造的M-SEARCH包来实现命令注入。

CVE-2020-15894

CVE-2020-15894漏洞属于敏感信息泄露漏洞，暴露的管理函数可以实现对敏感信息的非授权访问。

CVE-2020-15895

CVE-2020-15895属于XSS漏洞，由于逃逸值可以引发设备配置页面的反射性XSS漏洞。

CVE-2020-15896

CVE-2020-15896漏洞属于敏感信息泄露/认证绕过后门漏洞，暴露的管理函数可以实现对敏感信息的非授权访问。

有路由器管理页面访问权限的攻击者可以实现以上攻击，即使不知道管理员凭证。在大多数的配置情况下，攻击者需要与受害者路由器处于同一网络中才能访问路由器的web管理接口。

如果远程管理接口被禁用，那么远程攻击者只需要一个到路由器公开IP地址的请求就可以绕过认证接管设备和整个网络。

根据IOT搜索引擎Shodan.io 的数据，有超过55000台D-LINK设备可以远程访问web接口。其中大多数设备都受这些漏洞的影响。

PoC发布

Loginsoft给出的PoC漏洞利用表明滥用这些D-link漏洞非常容易。

认证绕过后门

为了证明CVE-2020-15896漏洞利用，D-Link路由器管理接口运行在192.168.0.1或可公开访问的IP。要访问‘/bsc_lan.php’这样受限制的页面，需要提供路由器的管理员用户名和密码。

在URL中加入GET参数NO_NEED_AUTH=1 和AUTH_GROUP=0 ，就可以作为后门来登陆管理员接口。

完整地访问控制绕过URL类似：

http://192.168.0.1/bsc_lan.php?NO_NEED_AUTH=1&AUTH_GROUP=0

CVE-2020-15896影响D-Link DAP 1522设备1.41和1.42固件版本。

早在2010年、2011年都有研究人员提交相同的漏洞，但是路由器厂商选择不修复这些严重的安全漏洞。

获取用户名和密码哈希值

CVE-2020-15894漏洞利用影响固件版本低于2.06 & 2.06.B09_BETA的Bx 硬件设备，PoC如下：

http://192.168.0.1/getcfg.php?a=%0a_POST_SERVICES%3DDEVICE.ACCOUNT%0aAUTHORIZED_GROUP%3D1

本例中的payload为：“_POST_SERVICES=DEVICE.ACCOUNTAUTHORIZED_GROUP=1”

漏洞利用会返回攻击者一个含有用户名和密码哈希的响应。

远程代码注入

CVE-2020-15893 漏洞利用与执行任意命令的能力相关，攻击者可以通过伪造的M-SEARCH 包通过UPnP 来访问路由器的IP。

UPnP 在DIR-816L 中是默认开启的，端口为1900。攻击者可以注入payload到the SSDP M-SEARCH discover 包的`Search Target` (ST) 域来实现命令注入。

命令注入PoC代码

漏洞影响固件版本低于2.06 & 2.06.B09_BETA版本的Bx硬件。

D-Link响应

D-Link发布了一个含有所有有漏洞的固件版本和硬件设备的列表，参见https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10169

研究人员建议用户尽快升级到最新固件版本。由于一些设备/固件已经不再提供更新，研究人员建议用户购买新的设备来避免相关漏洞的影响。

本文翻译自：https://www.bleepingcomputer.com/news/security/5-severe-d-link-router-vulnerabilities-disclosed-patch-now/如若转载，请注明原文地址：