安全公司报告
文库搜索
切换导航
文件分类
频道
文件分类
批量下载
D-Link路由器 HNAP协议系列漏洞披露 奇安信技术研究院 摘要 当前在“万物互联 ”的背景下, IoT设备应用日益流行,也频繁爆出高危安全漏洞。从致瘫北美大半个网 络DNS服务的 Mirai僵尸网络 [1]到动辄导致数十万摄像头暴露的安全漏洞 [2][3],可见以 Wi-Fi路由器、摄 像头、智能家居为代表的 IoT设备已经俨然成为 DDOS攻击、隐私泄漏的重要源头,对互联网安全构成严 重威胁。近期, “奇安信技术研究院 ”团队在 IoT安全方面开展了持续研究,选取主流 IoT品牌 D-Link的多 款在用路由器进行漏洞挖掘,开发了自动化测试工具集,在短时间内,高效地发掘了 14个高危漏洞,可 造成越权访问、 DNS劫持、远程命令执行等严重危害。在此基础上,研究人员结合 DNS Rebinding 技术, 实现了穿透攻击处于内网的路由器,更进一步对此类漏洞在常见应用场景下的攻击效果进行评估,结果显 示此类安全威胁广泛存在,目前所有漏洞均得到 CVE确认,并在第一时间通知相关 厂商。 1. 背景 HNAP协议(Home Network Administration Protocol )是思科公司提出的基于 SOAP实现的网络管理 协议,用户通过访问该协议的接口可以远程识别、配置、管理网络设备,普遍应用于智能家居、 SOHO办 公等中小型网络中 [4]。HNAP协议在路由器上应用广泛,同时也带来了不少安全问题,早在 2014年就爆 发了针对 Linksys路由器上 HNAP协议攻击的 “The Moon” 蠕虫,影响数十个型号 [5];D-Link设备也广泛使 用了 HNAP协议,历史上也曾爆过认证绕过 、远程命令执行等高危安全问题 [6][7]。近期,奇安信技术研 究院的研究人员选取市场上常见的 DIR-823G、DIR-878等D-Link路由器作为分析对象,发现多个新的安 全问题。所研究设备对应的固件为最新版本( FW1.02B03 、FW1.12B01 ),其官网的产品和固件最新信息 如下所示: (更新于 2019 -06-05) 2. 漏洞挖掘与安全披露 挖掘过程: 研究人员首先通过逆向分析和动态调试澄清路由器对 HNAP协议的实现架构和处理流程, 其中 DIR-823G在goahead 完整实现了全部功能, DIR-878在lighttpd中通过调用 librcm.so 、rc模块实现。 下图所示为 DIR-823G处理 HNAP的入口函数 sub_42383C 及功能函数表 off_58C560 : LOAD:0058C560 off_58C560: .word aSetmultipleact # DATA XREF: sub_42383C+150↑o LOAD:0058C560 # "SetMultipleActions " LOAD:0058C564 .word sub_433768 LOAD:0058C568 .word aGetdevicesetti_4 # "GetDeviceSettings" LOAD:0058C56C .word sub_432D28 LOAD:0058C570 .word aGetoperationmo # "GetOperationMode" LOAD: 0058C574 .word sub_433F70 LOAD:0058C578 .word aGetsmartconnec_4 # "GetSmartconnectSettings" LOAD:0058C57C .word sub_464DD4 LOAD:0058C580 .word aGetuplinkinter # "GetUplinkInterface" LOAD:0058C584 .word sub_433F48 LOAD:0058C588 .word aLogin_4 # "Login" LOAD:0058C58C .word sub_42ACB0 ---------------- SNIP-------------------------------------------------------- LOAD:0058C880 .word aGetaccessctlli_1 # "GetAccessCtlList" LOAD:0058C884 .word sub_46F988 总共包含 101个HNAP接口的 API函数 在此基础上,综合使用二进制静态分析和动态 Fuzzing技术,发现了 DIR-823G、DIR-878存在多个命 令注入、越权访问、缓存区溢出漏洞,目前总计申请获得了 14个CVE编号。其中 DIR-823G没有开启对 HNAP API 的访问认证,导致大量敏感 API暴露,越权问题普遍存在,更严重的是数个 API函数使用中存 在命令注入,导致攻击者只需内网用户权限即可攻击网关路由器,获取路由器的 root shell ,攻击门槛低, 结合钓鱼式植入攻击即可实现大范围传播的蠕虫病毒; DIR-878虽然开启了 HNAP API 访问认证,但是 API 函数普遍存在命令注入问题,进一步的 Fuzzing过程中还发现了多处缓存区溢出、拒绝服务等安全问题。 安全披露流程: 研究人员在发现漏洞的第一时间通过厂商官网、安全服务邮箱报告了相关漏洞情况, 并积极沟通修复方法。目前 DIR-823G的漏洞披露已经收到厂商的明确 回复,具体的更新固件尚未发布。 基于此,出于安全考虑, 研究人员在 披露过程中 并未公布完整利用代码,技术讨论与申报 CVE的截图中也 均掩盖高危漏洞利用时的敏感路径和参数信息,希望厂商及时修复并更新发布固件。 3. 结合 DNS Rebinding 的漏洞危害效果评估(附视频链接) 由于路由器通常应用在局域网中,在以往的攻防对抗中,其安全漏洞的攻击面很难直接暴露在公网上, 因此,攻击者越来越多的通过钓鱼植入等方式诱导内网用户下载执行攻击代码,从而从内部控制路由器, 反向连接到 公网上的攻击者服务器,实现穿透攻击。其中 DNS Rebinding 技术即可以很好的达到这种打入 局域网内部的攻击效果,近年越来越受到攻击者的青睐,接下来我们结合这项技术展示上述路由器漏洞可 能带来的安全危害。 第一步, 选取上述漏洞中的 DIR-823G漏洞( CVE-2019 -7297),结合 DNS Rebinding 技术演示漏洞 利用过程: 该命令注入漏洞的攻击门槛低,只需要利用代码在 WLAN中运行即可。攻击者可通过发送内嵌恶意代 码的网页 URL链接给 WLAN网内用户,网页中恶意代码将多次请求攻击者的远程 DNS服务器解析主机名, 触发 DNS Rebinding ,重定向攻击控制网关路由器。由此实现,只需要一个 URL链接即可拿下路由器的攻 击效果,具体过程如下图所示: Step1:攻击者发送恶意 URL链接 http://dnsrebind.smilehacker.net/dns_hijacking.html ; Step2:受害者点击链接,受害者浏览恶意网页,网页 JS代码攻击篡改路由器上的 DNS服务配置; Step3:内网其他主机用户访问重要网站(例如 login.taobao.com )被劫持。 测试环境下攻击视频演示: https://research.qianxin.com/wp -content/uploads/2019/06/dns_rebind.mp4 攻击原理解析: 1、攻击者发送恶意 URL链接 http://dnsrebind.smilehacker.net/dns_hijacking.html ; 2、受害者点击该链接,此时 DNS server 将主机名解析为攻击者的 web服务器 IP; 3、网页中视频播放一分钟左右, JS脚本会 POST请求 http://dnsrebind.smilehacker.net/HNAP1/ ; 4、此时 DNS server 将响应客户端的第二次对 dnsrebind.smilehacker.net 的解析请求,返回地址为路由 器网关 IP192.168.0.1, 漏洞攻击数据包将送达到路由器 , 攻击成功,且不会触发浏览器跨域限制; 5、视频中 的攻击载荷修改了路由器的 DNS服务配置,将淘宝登陆域名 login.taobao.com 指向了攻击者 的仿冒网站,达到了 DNS劫持的目的。 (DIR-878的命令注入漏洞类似,但是需要破解路由器 web管理员的登陆密码,利用难度更高) 第二步,危
奇安信 D-Link路由器HNAP协议系列漏洞披露
文档预览
中文文档
8 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共8页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 思安 于
2022-11-26 07:56:14
上传分享
举报
下载
原文档
(1.0 MB)
分享
友情链接
ISO-IEC 20153 2025 Information technology - OASIS Common Security Advisory Framework (CSAF) v2.0 Specification.pdf
ISO-IEC 23093-5 2025 Information technology - Internet of media things - Part 5 IoMT autonomous collaboration.pdf
ISO-IEC 21617-1 2025 Information technology - JPEG Trust - Part 1 Core foundation.pdf
ISO-IEC TR 19583-24 2025 Information technology - Concepts and usage of metadata - Part 24 11179-3 2013 Metamodel in RDF.pdf
ISO-IEC 18046-5 2025 Information technology - Radio frequency identification device performance test methods - Part 5 Test methods for the environmental characteristics of RFID tags used in sporting g.pdf
ISO-IEC TS 33062 2025 Information technology - Process assessment - Process assessment model for quantitative processes to support higher levels of process capability in ISO-IEC 33020.pdf
ISO-IEC 23090-31 2025 Information technology - Coded representation of immersive media - Part 31 Haptics coding.pdf
ISO-IEC 29110-5-6-4 2025 Systems and software engineering - Life cycle profiles for very small entities (VSEs) - Part 5-6-4 Systems engineering guidelines for the generic Advanced profile.pdf
ISO-IEC 9868 2025 Information technology - Design development use and maintenance of biometric identification systems involving passive capture subjects.pdf
ISO 20257-1 2020 Installation and equipment for liquefied natural gas Design of floating LNG installations Part 1 General requirements.pdf
GB-T 24573-2009 金库和档案室门耐火性能试验方法.pdf
GB-T 14343-2008 化学纤维 长丝线密度试验方法.pdf
GB-T 28017-2011 耐压式计量给煤机.pdf
GB-T 34568-2017 高炉和直接还原用铁矿石 体积密度的测定.pdf
GB-T 41458-2022 空间环境 产生航天器表面最恶劣电位差的等离子体环境.pdf
GB-T 41171-2021 失禁用尿吸收辅助器具 空气中可吸入聚丙烯酸高吸水性材料测量 钠原子吸收光谱法对采集盒粉尘的测定.pdf
GB-T 4772.3-1999 旋转电机尺寸和输出功率等级 第3部分 小功率装入式电动机 凸缘号BF10~BF50.pdf
GB-T 18657.4-2002 远动设备及系统 第5部分 传输规约 第4篇 应用信息元素的定义和编码.pdf
GB-T 18715-2002 配送备货与货物移动报文.pdf
GB-T 32177-2015 耐火材料中B2O3的测定.pdf
1
/
3
8
评价文档
赞助2元 点击下载(1.0 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。