CyberNews研究人员在TP-Link AC1200 Archer C50 (v6)路由器的默认固件和Web界面应用程序中发现了许多安全漏洞,这可能会使其用户面临中间人攻击和拒绝服务攻击的风险。
总部位于深圳的TP-Link Technologies Co, Ltd.是全球第一大面向消费者的wifi网络产品制造商,年销量达1.5亿台,在全球消费者WLAN市场中占有42%的份额。
TP-Link路由器由世界领先的制造商生产并由全球最大的在线零售商亚马逊销售。TP-Link路由器非常受欢迎,以至于某些型号经常在“wifi路由器”类别中获得“Amazon’s Choice”徽章。
然而,很少有家庭用户意识到有多少流行的消费级路由器型号存在安全隐患。从默认的管理员密码到未修补的漏洞,甚至是预装的后门,购买存在问题的路由器将会带来灾难性的后果,例如网络渗透、中间人攻击和路由器接管。
进入TP-Link AC1200 Archer C50 (v6):这款畅销的“亚马逊精选”wifi路由器在英国的零售价为34.50英镑(约合48美元),主要在欧洲市场销售。
除了与易受攻击的固件一起出售之外,该路由器还存在另一个严重缺陷:其Web界面应用程序的安全实践欠佳且加密薄弱,这可能使众多用户面临网络攻击的风险。
如果您碰巧拥有TP-Link AC1200 Archer C50 (v6)路由器,请立即安装最新的固件更新。
我们发现了什么
在我们对TP-Link AC1200 Archer C50 (v6)路由器进行安全分析的过程中,我们在路由器固件的默认版本及其Web界面应用程序中发现了多个未修补的漏洞:
◼路由器附带过时的固件,容易受到数十个已知安全漏洞的攻击。
◼默认情况WPS处于启用状态,这可能允许威胁行为者对路由器进行暴力破解。
◼注销路由器应用程序后,会话token不会在服务器端删除,并被接受用于后续授权程序。
◼路由器的管理员凭据和配置备份文件使用弱协议加密,攻击者可以轻松解密。
◼路由器的Web界面应用程序的默认版本存在多种不良安全实践和漏洞,包括点击劫持、字符集不匹配、cookie松弛、私有IP泄露、HTTPS加密不足等等。
另一方面,影响旧版本路由器固件的大多数已知缺陷,例如ping过程中的代码执行和路径遍历漏洞,都已在我们分析的版本中进行了修补。此外,路由器Web界面应用程序上登录和注销过程中的HTTP流量现在使用排列的base64协议进行加密。
然而,一些缺陷只是修补了一半。例如,路由器的后端似乎仍然相对不安全,这意味着其他人可能会在Web界面中找到一个入口点并重新利用以前已知的缺陷。
7月18日,CyberNews联系TP-Link征求意见,并了解他们是否知道这些缺陷,以及他们计划采取哪些措施来保护客户。
在我们发送了受攻击的TP-Link设备的信息后,TP-Link表示公司将强制对受攻击的设备进行固件更新,用户将通过他们的管理界面收到有关这些更新的“相关通知”,无论“他们是通过网络终端还是移动应用程序Tether进行设备管理。”
默认固件版本中存在大量已知漏洞
我们的初步调查发现,路由器固件使用的服务与MITRE常见漏洞和暴露(CVE)数据库中列出的39个公开的安全漏洞相匹配。然后,我们通过将漏洞分为4类来缩小此列表的范围:
◼最有可能出现
◼很可能出现
◼可能出现
◼Unexploitable
我们通过调查路由器的内核及其服务的版本号,以及我们可以在GitHub上查找的以前的详细报告和开源代码来确定它们的可能性。
正如我们所看到的,39个漏洞中有24个被确定为可能存在于路由器固件中的潜在漏洞,其中15个被确认为“Unexploitable”。
令人担忧的是,路由器上有7个已知漏洞被确认为“最有可能出现”的:
◼“释放后使用”漏洞允许潜在威胁参与者通过删除网络命名空间来对路由器发起拒绝服务攻击。
◼“PPPoL2TP”功能允许潜在攻击者通过利用路由器套接字之间的数据结构差异来获得网络特权。
◼ 路由器内核中的多个整数溢出让威胁行为者发起拒绝服务攻击或获得特权。
◼如果攻击者利用此cURL漏洞,则可能会泄露路由器所有者的凭据,从而导致敏感信息的泄露。
◼ 另一个cURL漏洞允许潜在的威胁行为者窃取用户数据并发起拒绝服务攻击。
◼Dropbear中存在的scp.c漏洞可让潜在攻击者绕过访问限制并修改目标目录的权限。
◼ CVE-2014-3158漏洞允许威胁行为者来访问网络上的特权选项和“[corrupt]安全有关的变量。”
此外,还有15个额外漏洞被视为“可能存在”。话虽如此,这些都没有经过实际测试,因为我们找不到直接的参考资料或概念证明来确定它们是很可能存在的。
另外两个漏洞——CVE-2011-2717和CVE-2015-3310——被认定为“不太可能”,但也可能存在于路由器上。
TP-Link Web界面应用程序代码揭示了低于标准的安全实践
在确定固件中的许多潜在漏洞后,我们通过使用Nmap、BurpSuite和OWASP ZAP渗透测试工具扫描路由器的默认web界面应用程序,并对其进行了分析。
扫描结果显示,路由器的Web界面应用程序中存在许多不合标准的安全实践和漏洞,它们可能会被威胁行为者利用:
◼该应用默认不支持HTTPS,允许潜在攻击者拦截网络流量。
◼启用后,接口内的HTTPS使用弱TLS 1.0和TLS 1.1加密协议实现。
◼该应用程序使用Base64编码方案,可以被潜在的中间人攻击者轻松解码。
◼该接口存在Cookie Slack漏洞,这可能允许威胁参与者进行指纹识别。
◼字符集不匹配允许潜在的威胁参与者强制Web浏览器进入内容嗅探模式。
◼应用程序内图像上的内容类型不正确,这可能会导致攻击者将恶意脚本伪装成图像。
◼未设置X-Content-Type-Options标题,导致允许进行内容嗅探。
◼该应用程序的JavaScript代码中使用了“Eval()”函数,这可能允许潜在攻击者向该函数中注入恶意代码。
◼路由器的Web界面容易受到反向tabnabbing攻击,攻击者可以使用框架页面来重写它们并将其替换为网络钓鱼页面。
◼未设置内容安全策略header,使得Web浏览器可以加载Web界面页面内的任何类型的内容,包括恶意代码。
◼该接口允许披露私有IP,这让潜在的威胁行为者可以识别本地网络中的受害者。
◼恶意行为者可以使用界面内的可框架响应来诱使用户无意中点击不同页面上的按钮或链接,而不是预期页面(也称为点击劫持)。
◼每秒向路由器发送足够多的请求,路由器就会失去响应,这意味着存在拒绝服务漏洞。
我们还注意到,默认固件版本使用DSA和RSA算法进行密钥加密-这是Dropbear SSH加密服务9年前实现的,其本身存在多个漏洞。
最后,我们决定检查路由器的固件是否仍然存在其他安全研究人员在其先前版本中发现的多个严重漏洞。幸运的是,旧版本中发现的缺陷在CyberNews测试的版本中不再存在,这意味着新用户不再面临路径遍历攻击和未经身份验证的访问尝试。
一个长达两年的严重漏洞
除了路由器配置文件的加密不佳,我们发现并验证的最严重的安全漏洞之一是2019年的一个漏洞,该漏洞仅在路由器固件的默认版本中进行了部分修补。
如果攻击者拦截了来自具有管理员权限并成功登录路由器的用户的网络流量,他们将能够提取其JSESSIONID cookie,结合正确的硬编码Referrer header,我们就可以访问任何CGI脚本,包括路由器配置文件的备份,我们可以使用可追溯到2018年的公开工具轻松解密。
解密后的配置文件存储了路由器的多个信息和敏感变量,包括:
◼管理员密码
◼无线上网的WPS密钥
◼硬件版本
◼软件版本
◼网络名称(SSID)
此外,路由器的配置文件在后端进行解释,这可能让攻击者通过解密配置文件、编辑配置文件并将重新加密的恶意配置文件上传回路由器来进行命令注入攻击。
为什么使用过时固件运送路由器很危险
随着新冠疫情迫使数百万人远程工作,家庭路由器已成为网络犯罪分子的重要目标。在此过程中公司发现要充分保护所有员工的网络设备几乎是不可能的。
尽管路由器制造商会定期发布固件更新以解决新漏洞,但查找、下载和安装这些更新的责任还是落在了普通用户身上。然而,即使是经验丰富的IT专业人员也经常忘记让他们的路由器软件保持最新。这意味着大多数家用路由器将无限期地保留其固件的默认版本,这也是不法分子认为它们作为目标的原因之一。
考虑到这一点,TP-Link一直在畅销路由器上保留过时的固件,这可能会让数不清的TP-Link客户面临恶意参与者攻击的风险。
AC1200 Archer C50 (v6)是一款好的路由器吗?或许是吧。开箱即用是否安全?除非制造商对其进行强制更新。仅仅在公司网站上发布更新或通过应用程序发送通知不一定能解决这个问题。
我们如何收集和分析数据
为了进行这项调查,我们拆解了亚马逊最畅销的TP-Link AC1200 Archer C50 (v6)路由器,访问了其外壳终端,并使用Nmap、BurpSuite和OWASP ZAP渗透测试工具分析了路由器固件(“Archer C50(EU)_V6_200716”)和web界面。
在拆开路由器时,我们发现了它的UART串行端口,并通过使用中间控制器将打开的串口连接到计算机来访问其后端终端。
这使我们能够提取路由器的默认固件,查看其引导加载顺序,并将路由器使用的服务和小程序的版本与MITRE CVE数据库进行交叉引用,我们将其用作识别任何潜在安全性的标准缺陷。然后,我们分析了路由器的Web界面,以验证在MITRE CVE数据库中发现的任何潜在漏洞。
此外,我们通过拦截对其CGI控制器的合法调用来提取路由器的弱加密配置文件。然后我们能够解密此配置文件以显示管理员凭据和路由器的WPS访问密钥。
这使我们能够发现其他低于标准的安全实践,包括弱加密协议、默认启用的WPS,以及在管理员注销程序后保持活动的访问token。
拆解路由器
为了分析路由器固件是否存在潜在的安全漏洞,我们首先必须获得对路由器外壳终端的访问权限。
我们首先对设备本身进行物理分解,并揭开其串行端口。
在电路板上找到路由器的串口后,我们通过USB转换器将路由器连接到另一台计算机上,这样我们就可以对其固件进行分析。
我们能够通过在连接的计算机上运行一组命令并打开路由器来访问路由器的shell终端。
提取数据
在获得对路由器的外壳访问权限后,我们收集了以下信息:
◼路由器的启动加载顺序。
◼/etc/passwd文件夹的内容,用于跟踪所有注册用户并存储他们的信息,包括用户名和密码。
◼/var/tmp/dropbear文件夹的内容,其中存储了路由器的SSH密钥和SSH密码。
◼可用命令列表、$PATH变量和可用服务列表。
收集原始数据后,我们的下一步是识别任何潜在的漏洞,然后手动验证它们,看看它们是否可以被威胁行为者利用,至少在理论上是这样。我们通过将数据与MITRE CVE数据库进行交叉引用来做到这一点,该数据库帮助我们识别了39个潜在的安全漏洞,然后手动验证它们以查看它们是否会被威胁行为者利用。
最后,我们使用Nmap、BurpSuite和OWASP ZAP渗透测试工具扫描了路由器的Web界面。这使我们能够识别TP-Link用于存储和传输敏感信息的加密算法,揭示路由器Web界面应用程序中存在的不合标准的安全实践和漏洞。
本文翻译自:https://cybernews.com/security/amazon-tp-link-router-ships-with-vulnerable-firmware/#discovered如若转载,请注明原文地址