Amazon’s Choice最暢銷的TP-Link路由器固件易受攻擊

我們會有自己的貓 事件 剛剛發布收藏導語：TP-Link AC1200 Archer C50 (v6)路由器附帶易受攻擊的固件，這可能會使其用戶面臨中間人攻擊和拒絕服務攻擊的風險。

[[424330]]

CyberNews研究人員在TP-Link AC1200 Archer C50 (v6)路由器的默認固件和Web界面應用程序中發現了許多安全漏洞，這可能會使其用戶面臨中間人攻擊和拒絕服務攻擊的風險。

總部位于深圳的TP-Link Technologies Co, Ltd.是全球第一大面向消費者的wifi網絡產品制造商，年銷量達1.5億臺，在全球消費者WLAN市場中占有42%的份額。

TP-Link路由器由世界領先的制造商生產并由全球最大的在線零售商亞馬遜銷售。TP-Link路由器非常受歡迎，以至于某些型號經常在“wifi路由器”類別中獲得“Amazon’s Choice”徽章。

然而，很少有家庭用戶意識到有多少流行的消費級路由器型號存在安全隱患。從默認的管理員密碼到未修補的漏洞，甚至是預裝的后門，購買存在問題的路由器將會帶來災難性的后果，例如網絡滲透、中間人攻擊和路由器接管。

進入TP-Link AC1200 Archer C50 (v6)：這款暢銷的“亞馬遜精選”wifi路由器在英國的零售價為34.50英鎊(約合48美元)，主要在歐洲市場銷售。

除了與易受攻擊的固件一起出售之外，該路由器還存在另一個嚴重缺陷：其Web界面應用程序的安全實踐欠佳且加密薄弱，這可能使眾多用戶面臨網絡攻擊的風險。

如果您碰巧擁有TP-Link AC1200 Archer C50 (v6)路由器，請立即安裝最新的固件更新。

我們發現了什么

在我們對TP-Link AC1200 Archer C50 (v6)路由器進行安全分析的過程中，我們在路由器固件的默認版本及其Web界面應用程序中發現了多個未修補的漏洞：

• 路由器附帶過時的固件，容易受到數十個已知安全漏洞的攻擊。
• 默認情況WPS處于啟用狀態，這可能允許威脅行為者對路由器進行暴力破解。
• 注銷路由器應用程序后，會話token不會在服務器端刪除，并被接受用于后續授權程序。
• 路由器的管理員憑據和配置備份文件使用弱協議加密，攻擊者可以輕松解密。
• 路由器的Web界面應用程序的默認版本存在多種不良安全實踐和漏洞，包括點擊劫持、字符集不匹配、cookie松弛、私有IP泄露、HTTPS加密不足等等。

另一方面，影響舊版本路由器固件的大多數已知缺陷，例如ping過程中的代碼執行和路徑遍歷漏洞，都已在我們分析的版本中進行了修補。此外，路由器Web界面應用程序上登錄和注銷過程中的HTTP流量現在使用排列的base64協議進行加密。

然而，一些缺陷只是修補了一半。例如，路由器的后端似乎仍然相對不安全，這意味著其他人可能會在Web界面中找到一個入口點并重新利用以前已知的缺陷。

7月18日，CyberNews聯系TP-Link征求意見，并了解他們是否知道這些缺陷，以及他們計劃采取哪些措施來保護客戶。

在我們發送了受攻擊的TP-Link設備的信息后，TP-Link表示公司將強制對受攻擊的設備進行固件更新，用戶將通過他們的管理界面收到有關這些更新的“相關通知”，無論“他們是通過網絡終端還是移動應用程序Tether進行設備管理。”

默認固件版本中存在大量已知漏洞

我們的初步調查發現，路由器固件使用的服務與MITRE常見漏洞和暴露(CVE)數據庫中列出的39個公開的安全漏洞相匹配。然后，我們通過將漏洞分為4類來縮小此列表的范圍：

• 最有可能出現
• 很可能出現
• 可能出現
• Unexploitable

我們通過調查路由器的內核及其服務的版本號，以及我們可以在GitHub上查找的以前的詳細報告和開源代碼來確定它們的可能性。

正如我們所看到的，39個漏洞中有24個被確定為可能存在于路由器固件中的潛在漏洞，其中15個被確認為“Unexploitable”。

令人擔憂的是，路由器上有7個已知漏洞被確認為“最有可能出現”的：

• “釋放后使用”漏洞允許潛在威脅參與者通過刪除網絡命名空間來對路由器發起拒絕服務攻擊。
• “PPPoL2TP”功能允許潛在攻擊者通過利用路由器套接字之間的數據結構差異來獲得網絡特權。
• 路由器內核中的多個整數溢出讓威脅行為者發起拒絕服務攻擊或獲得特權。
• 如果攻擊者利用此cURL漏洞，則可能會泄露路由器所有者的憑據，從而導致敏感信息的泄露。
•  另一個cURL漏洞允許潛在的威脅行為者竊取用戶數據并發起拒絕服務攻擊。
• Dropbear中存在的scp.c漏洞可讓潛在攻擊者繞過訪問限制并修改目標目錄的權限。
•  CVE-2014-3158漏洞允許威脅行為者來訪問網絡上的特權選項和“[corrupt]安全有關的變量。”

此外，還有15個額外漏洞被視為“可能存在”。話雖如此，這些都沒有經過實際測試，因為我們找不到直接的參考資料或概念證明來確定它們是很可能存在的。

另外兩個漏洞——CVE-2011-2717和CVE-2015-3310——被認定為“不太可能”，但也可能存在于路由器上。

TP-Link Web界面應用程序代碼揭示了低于標準的安全實踐

在確定固件中的許多潛在漏洞后，我們通過使用Nmap、BurpSuite和OWASP ZAP滲透測試工具掃描路由器的默認web界面應用程序，并對其進行了分析。

掃描結果顯示，路由器的Web界面應用程序中存在許多不合標準的安全實踐和漏洞，它們可能會被威脅行為者利用：

• 該應用默認不支持HTTPS，允許潛在攻擊者攔截網絡流量。
• 啟用后，接口內的HTTPS使用弱TLS 1.0和TLS 1.1加密協議實現。
• 該應用程序使用Base64編碼方案，可以被潛在的中間人攻擊者輕松解碼。
• 該接口存在Cookie Slack漏洞，這可能允許威脅參與者進行指紋識別。
• 字符集不匹配允許潛在的威脅參與者強制Web瀏覽器進入內容嗅探模式。
• 應用程序內圖像上的內容類型不正確，這可能會導致攻擊者將惡意腳本偽裝成圖像。
• 未設置X-Content-Type-Options標題，導致允許進行內容嗅探。
• 該應用程序的JavaScript代碼中使用了“Eval()”函數，這可能允許潛在攻擊者向該函數中注入惡意代碼。
• 路由器的Web界面容易受到反向tabnabbing攻擊，攻擊者可以使用框架頁面來重寫它們并將其替換為網絡釣魚頁面。
• 未設置內容安全策略header，使得Web瀏覽器可以加載Web界面頁面內的任何類型的內容，包括惡意代碼。
• 該接口允許披露私有IP，這讓潛在的威脅行為者可以識別本地網絡中的受害者。
• 惡意行為者可以使用界面內的可框架響應來誘使用戶無意中點擊不同頁面上的按鈕或鏈接，而不是預期頁面(也稱為點擊劫持)。
• 每秒向路由器發送足夠多的請求，路由器就會失去響應，這意味著存在拒絕服務漏洞。

我們還注意到，默認固件版本使用DSA和RSA算法進行密鑰加密-這是Dropbear SSH加密服務9年前實現的，其本身存在多個漏洞。

最后，我們決定檢查路由器的固件是否仍然存在其他安全研究人員在其先前版本中發現的多個嚴重漏洞。幸運的是，舊版本中發現的缺陷在CyberNews測試的版本中不再存在，這意味著新用戶不再面臨路徑遍歷攻擊和未經身份驗證的訪問嘗試。

一個長達兩年的嚴重漏洞

除了路由器配置文件的加密不佳，我們發現并驗證的最嚴重的安全漏洞之一是2019年的一個漏洞，該漏洞僅在路由器固件的默認版本中進行了部分修補。

如果攻擊者攔截了來自具有管理員權限并成功登錄路由器的用戶的網絡流量，他們將能夠提取其JSESSIONID cookie，結合正確的硬編碼Referrer header，我們就可以訪問任何CGI腳本，包括路由器配置文件的備份，我們可以使用可追溯到2018年的公開工具輕松解密。

解密后的配置文件存儲了路由器的多個信息和敏感變量，包括：

• 管理員密碼
• 無線上網的WPS密鑰
• 硬件版本
• 軟件版本
• 網絡名稱(SSID)

此外，路由器的配置文件在后端進行解釋，這可能讓攻擊者通過解密配置文件、編輯配置文件并將重新加密的惡意配置文件上傳回路由器來進行命令注入攻擊。

為什么使用過時固件運送路由器很危險

隨著新冠疫情迫使數百萬人遠程工作，家庭路由器已成為網絡犯罪分子的重要目標。在此過程中公司發現要充分保護所有員工的網絡設備幾乎是不可能的。

盡管路由器制造商會定期發布固件更新以解決新漏洞，但查找、下載和安裝這些更新的責任還是落在了普通用戶身上。然而，即使是經驗豐富的IT專業人員也經常忘記讓他們的路由器軟件保持最新。這意味著大多數家用路由器將無限期地保留其固件的默認版本，這也是不法分子認為它們作為目標的原因之一。

考慮到這一點，TP-Link一直在暢銷路由器上保留過時的固件，這可能會讓數不清的TP-Link客戶面臨惡意參與者攻擊的風險。

AC1200 Archer C50 (v6)是一款好的路由器嗎?或許是吧。開箱即用是否安全?除非制造商對其進行強制更新。僅僅在公司網站上發布更新或通過應用程序發送通知不一定能解決這個問題。

我們如何收集和分析數據

為了進行這項調查，我們拆解了亞馬遜最暢銷的TP-Link AC1200 Archer C50 (v6)路由器，訪問了其外殼終端，并使用Nmap、BurpSuite和OWASP ZAP滲透測試工具分析了路由器固件(“Archer C50(EU)_V6_200716”)和web界面。

在拆開路由器時，我們發現了它的UART串行端口，并通過使用中間控制器將打開的串口連接到計算機來訪問其后端終端。

這使我們能夠提取路由器的默認固件，查看其引導加載順序，并將路由器使用的服務和小程序的版本與MITRE CVE數據庫進行交叉引用，我們將其用作識別任何潛在安全性的標準缺陷。然后，我們分析了路由器的Web界面，以驗證在MITRE CVE數據庫中發現的任何潛在漏洞。

此外，我們通過攔截對其CGI控制器的合法調用來提取路由器的弱加密配置文件。然后我們能夠解密此配置文件以顯示管理員憑據和路由器的WPS訪問密鑰。

這使我們能夠發現其他低于標準的安全實踐，包括弱加密協議、默認啟用的WPS，以及在管理員注銷程序后保持活動的訪問token。

拆解路由器

為了分析路由器固件是否存在潛在的安全漏洞，我們首先必須獲得對路由器外殼終端的訪問權限。

我們首先對設備本身進行物理分解，并揭開其串行端口。

在電路板上找到路由器的串口后，我們通過USB轉換器將路由器連接到另一臺計算機上，這樣我們就可以對其固件進行分析。

我們能夠通過在連接的計算機上運行一組命令并打開路由器來訪問路由器的shell終端。

提取數據

在獲得對路由器的外殼訪問權限后，我們收集了以下信息：

• 路由器的啟動加載順序。
• /etc/passwd文件夾的內容，用于跟蹤所有注冊用戶并存儲他們的信息，包括用戶名和密碼。
• /var/tmp/dropbear文件夾的內容，其中存儲了路由器的SSH密鑰和SSH密碼。
• 可用命令列表、$PATH變量和可用服務列表。

收集原始數據后，我們的下一步是識別任何潛在的漏洞，然后手動驗證它們，看看它們是否可以被威脅行為者利用，至少在理論上是這樣。我們通過將數據與MITRE CVE數據庫進行交叉引用來做到這一點，該數據庫幫助我們識別了39個潛在的安全漏洞，然后手動驗證它們以查看它們是否會被威脅行為者利用。

最后，我們使用Nmap、BurpSuite和OWASP ZAP滲透測試工具掃描了路由器的Web界面。這使我們能夠識別TP-Link用于存儲和傳輸敏感信息的加密算法，揭示路由器Web界面應用程序中存在的不合標準的安全實踐和漏洞。

本文翻譯自:https://cybernews.com/security/amazon-tp-link-router-ships-with-vulnerable-firmware/#discovered如若轉載，請注明原文地址。