您现在的位置: 华盟网 >> 手机 >> 网络安全 >> 正文

超过60个未公开的漏洞影响22个家里路由器(SOHU路由器)

作者: 360安全播报    文章来源: 黑白之道     阅读量:


超过60个未公开的漏洞影响22个家里路由器

                 

  受影响的路由器列表如下:

  1. Observa Telecom AW4062

  2. Comtrend WAP-5813n

  3. Comtrend CT-5365

  4. D-Link DSL-2750B

  5. Belkin F5D7632-4

  6. Sagem LiveBox Pro 2 SP

  7. Amper Xavi 7968 and 7968+

  8. Sagem Fast 1201

  9. Linksys WRT54GL

  10. Observa Telecom RTA01N

  11. Observa Telecom Home Station BHS-RTA

  12. Observa Telecom VH4032N

  13. Huawei HG553

  14. Huawei HG556a

  15. Astoria ARV7510

  16. Amper ASL-26555

  17. Comtrend AR-5387un

  18. Netgear CG3100D

  19. Comtrend VG-8050

  20. Zyxel P 660HW-B1A

  21. Comtrend 536+

  22. D-Link DIR-600

  每款路由器对应的主要漏洞类型有:

  - 存储行xss:

  #1, #2, #3, #6, #10, #12, #13,#14, #16, #17, #18, #19 and #20

  - 非认证xss访问:

  #3, #7, #8, #9, #10, #14, #16,#17 and #19.

  - CSRF 漏洞:

  #1, #2, #3, #5, #10, #12, #13, #14,#15, #16, #18 and #20.

  - DDOS漏洞:

  #1, #5 and #10.

  - 提权漏洞:

  #1

  - 信息泄漏:

  #11

  - 后门

  #10

  - 使用SMB符号链接绕过认证

  #12

  - USB设备绕过认证

  #12, #13, #14 and #15

  - 认证绕过

  #14

  -即插即用相关漏洞:

  #2, #3, #4, #5, #6,#7, #10, #11, #12, #13, #14, #16, #21 and #22

  所有路由器漏洞均已经过物理测试:正在申请cve流程

  ===============================

  厂商: Observa Telecom

  型号: AW4062

  测试的固件: 1.3.5.18 and 1.4.2 (latest)

  注释:在西班牙isp于2012年广泛给adsl用户派发的路由器

  漏洞描述:

  存储型xss:

  多个xss漏洞被发现于路由器的配置菜单项,可以让攻击者执行恶意代码

  POC:

  在域名阻止的子目录的input字段没有做好相应的过滤,该功能主要用于阻止路由器访问制定的域名。然而domain的表单input字段允许攻击者输入js恶意脚本,当管理员每次访问该功能时,会触发存储型xss.

  在防火墙/url阻断,防火墙/端口转发字段也有相应的漏洞。

  csrf漏洞:

  路由器的ping功能是通过GET传递,没有csrf token

  http://192.168.1.1/goform/formPing?pingAddr=37.252.96.88

  修改密码:

  http://192.168.1.1/goform/formPasswordSetup?userMode=0&oldpass=1234&newpass=12345&confpass=12345&save=%22Apply%20Changes%22

  DNS修改:

  http://192.168.1.1/goform/formDNS?dnsMode=dnsManual&dns1=37.252.96.88&dns2=&dns3=

  权限提升:

  当没有管理员权限的用户连接到路由器的FTP后,可以下载/etc/passwd和config.xml文件,其中config.xml存储路由器的明文配置信息,包括管理员用户的帐号。

  拒绝服务:

  可以通过csrf来实现远程路由器关机

  http://192.168.1.1/goform/admin/formReboot

  当受害者打开这个页面后,路由器会在60秒内重启

  ===============================

  厂商: Comtrend

  型号: WAP-5813n (tested in Product Numbers 723306-104 and 723306-033)

  测试的固件: P401-402TLF-C02_R35 and P401-402TLF-C04_R09 (latest one)

  注释: 西班牙isp在2011年到2014年给FTTH用户广泛派发的路由器

  漏洞描述:

  存储型xss:

  路由器的SSID可以输入恶意的js脚本,当管理员查看无线->安全功能和无线->MAC地址过滤功能时会触发

  CSRF:

  当请求这个连接的时候,会修改管理员密码为1234567890

  http://192.168.1.1/password.cgi?adminPassword=1234567890

  DNS修改:

  http://192.168.1.1/dnscfg.cgi?dnsPrimary=37.252.96.88&dnsSecondary=37.252.96.89&dnsIfc=&dnsRefresh=1

  UPNP弱认证导致可以修改防火墙规则:

  可以通过UPNP请求,修改路由器的端口映射,以及中断WAN连接。

  ===============================

  厂商: Belkin

  型号: F5D7632-4

  测试的固件: 6.01.04

  漏洞描述:

  csrf:

  改变dns

  http://192.168.2.1/cgi-bin/setup_dns.exe?page=

  "setup_dns"&logout=""&dns1_1=37&dns1_2=252

  &dns1_3=96&dns1_4=88&dns2_1=37&dns2_2=252&dns2_3=96&dns2_4=89

  拒绝服务:

  通过请求

  http://192.168.2.1/cgi-bin/restart.exe?page="tools_gateway"&logout="";

  重启路由器

  UPNP弱认证导致可以修改防火墙规则:

  可以通过UPNP请求,修改路由器的端口映射,以及中断WAN连接。

  ===============================

  厂商: Linksys

  型号: WRT54GL

  测试的固件: 4.30.16 build 6

  漏洞描述:

  非认证的xss:

  攻击者只需发送一个DHCP的PDU请求,在请求中包含恶意的JS语句,当管理员查看路由器的状态->本地网络->DHCP客户端时会触发

  ===============================

  厂商: Observa Telecom

  型号: RTA01N

  固件测试: RTK_V2.2.13

  漏洞描述:

  存储型xss:

  在DDNS的主机名输入列,输入恶意的js脚本,当管理员访问服务->DDNS时会触发

  csrf:

  当受害者访问此URL时,会修改DNS

  http://192.168.1.1/form2Dns.cgi?dnsMode="1"&dns1="37.252.96.88"&dns2="37.252.96.89"&dns3=""&submit.htm?dns.htm="Send"&save="Aplicarcambios"

  非认证的xss:

  攻击者只需发送一个DHCP的PDU请求,在请求中包含恶意的JS语句,当管理员查看路由器的状态->本地网络->DHCP客户端时会触发

  后门:

  admin用户的另一个帐号密码是7449airocon,可以通过路由器的备份功能,备份出xml文件,然后查看到。

  UPNP弱认证导致可以修改防火墙规则:

  可以通过UPNP请求,修改路由器的端口映射,以及中断WAN连接。

  ===============================

  厂商: Observa Telecom

  型号: VH4032N

  测试固件: VH4032N_V0.2.35

  注释: 沃达丰isp给他们客户最常见的路由器

  漏洞描述:

  存储型xss:

  将SSID输入“‘;</script><script>alert(1)</script><script>//”,会在管理员查看WEB接口时触发

csrf:

受害者打开该连接后,会修改密码

http://192.168.0.1/en_US/administration.cgi?usrPassword=newpass

打开FTP服务,并且修改密码

http://192.168.0.1/en_US/config_ftp.cgiftpEnabled=1&ftpUserName=vodafone&ftpPassword=vulnpass&ftpPort=21&ftpAclMode=2

通过SMB符号链接绕过认证:

攻击者可以通过路由器的SMB服务新建符号链接,然后下载配置文件以及内核文件系统,比如将一个符号链接指向/,就有可能下载路由器的整个文件系统

USB设备绕过认证:

攻击者仅仅需要访问路由器的9000端口,无需任何认证,就可以访问到插在路由器上USB接口的设备,下载,修改,上传文件。

UPNP弱认证导致可以修改防火墙规则:

可以通过UPNP请求,修改路由器的端口映射,以及中断WAN连接。

===============================

厂商: Huawei

型号: HG553

测试的固件: V100R001C03B043SP01

注释: 沃达丰isp给他们客户最常见的路由器

漏洞描述:

USB设备绕过认证:

攻击者仅仅需要访问路由器的9000端口,无需任何认证,就可以访问到插在路由器上USB接口的设备,下载,修改,上传文件。

认证绕过:

无需认证就可以访问/rebootinfo.cgi,强制路由器恢复到出厂状态,然后攻击者使用默认帐号登录路由器

csrf:

受害者访问该连接后,会修改路由器密码

http://192.168.0.1/userpasswd.cgi?usrPassword=newpassword

UPNP弱认证导致可以修改防火墙规则:

可以通过UPNP请求,修改路由器的端口映射,以及中断WAN连接。

原文参考:

http://seclists.org/fulldisclosure/2015/May/129

安全建议:不要受权路由器管理端口外网访问、修改路由器默认管理尼玛、上网查查路由器是否有隐藏管理密码如果有也要修改、及时更新路由器新版本固件、使用安全客app订阅路由器厂商及型号关键词,第一时间了解相关漏洞及补丁公告。

路由器不应当对外开放任何不必要的端口和服务,包括NTP、DNS、TFTP、SNMP等。 同时应当避免讲内网服务通过Nat地址映射的方式共享至外网...

        
阅读原文     举报

  • 上一篇文章:
  • 下一篇文章: 没有了
  •