回归最本质的信息安全

Humax WiFi路由器被爆0day漏洞,可获得管理员权限

2017年6月30日发布

25,817
0
0

导语:2017年5月,来自Trustwave SpiderLabs的Felipe Cerqueira和Thiago Musa在HUMAX WiFi路由器型号HG-100R *中发现了一个远程漏洞。

最近,在2017年5月,来自Trustwave SpiderLabs的Felipe Cerqueira和Thiago Musa在HUMAX WiFi路由器型号HG-100R *中发现了一个远程漏洞。此漏洞可能会让攻击者破坏WiFi凭据,更危险的是查看路由器控制台管理员密码。该设备是由巴西一家主要互联网提供商,但也被用于世界许多其他地区。

脆弱性

该漏洞首先构造绕特殊的请求绕过管理控制台的身份验证。这是因为路由器在“url/api”中为某些方法返回应答是时无法验证会话令牌。攻击者可以使用此漏洞检索敏感信息,如私有/公共IP地址,SSID名称和密码。

cookie登录基本上是在base64中包含uid和pwd的json数据:

登录名= { “UID”: “管理员”, “PWD”: “4cd08a961f5c”};

在下面的示例中,您可以看到对路由器的请求,而不提供任何身份验证以及包含敏感数据(如SSID名称,IP地址和WiFi密码)的响应。

另一个漏洞允许攻击者绕过身份验证,以访问备份功能以保存(/view/basic/GatewaySettings.bin)和恢复(/view/basic/ConfigUpload.html)配置。两者都忽略cookies“login”和“login_token”的缺失,并将接受下载和上传完整路由器配置的请求。

通过使用“/view/basic/GatewaySettings.bin”和“/view/basic/ConfigUpload.html”提供的备份生成/还原功能,我们可以查看,更改并最终恢复特制配置。作为这种类型的漏洞的一个示例,攻击者可以使用它来更改DNS配置,并将流量重定向到由其控制的服务器,以窃取私人信息,如密码或银行帐户信息。

文件GatewaySettings.bin的仔细分析也显示管理密码存储在那里,无需加密。

基本上,文件由一个头组成,从字节96组成,它以base64编码。

在代码00 00 4c c8(这是前面的数据的长度)之后,所有以下数据都是用base64编码的。解码后bin文件很有意义。

在这个例子中我们可以看到用户'admin'的明文中的密码'AAAAAAAA'。有一个用户'root'使用密码'humax'。此帐户的具体用途尚未确定。

如果您的路由器允许通过Internet进行远程配置管理,攻击者可以轻松获得访问权限,并更改将影响Internet流量的配置。然而,即使在面向Internet的接口上配置管理不可用,攻击者仍然可以利用WiFi路由器在公共场所的漏洞,例如在咖啡馆或机场。

避免风险?

不幸的是,多次尝试向Humax披露这一漏洞,但我们还没有得到该组织的任何回应。因为这个漏洞没有官方补丁。为了防止远程利用,请确保您的WiFi路由器不会暴露在Internet中:禁用“远程配置管理”选项,如下所示:

通过以下URL访问您的HUMAX WiFi路由器:http://192.168.0.1,您应该可以在路由器本身的底部找到凭据。

默认情况下,此配置未启用,但应仔细检查。如果您无法访问路由器,请尝试联系您的Internet服务提供商并要求支持,或者也可能需要新的路由器。

如若转载,请注明原文地址: http://www.4hou.com/vulnerable/5854.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

愣娃

愣娃

这个人很懒,什么也没留下

发私信

发表评论