本文讲的是完全控制路由器 D-Link远程访问漏洞依然没有补上,D-Link几种型号路由器存在几个未打补丁的漏洞中,其中一个可被黑客利用进而完全控制设备。
一位业余从事安全研究的系统工程师,彼特·埃德金斯最近声称,自从1月11日以来就向D-Link官方报告了这个问题,但对方至今没有表示何时修复漏洞。
“我认为,应该让路由器的用户了解这些漏洞的存在,而不是把他们蒙在鼓里几个月的时间等着厂商修复。”
埃德金斯在Github上公布了他的发现。最严重的问题是一个伪造跨站请求(CSRF)漏洞,黑客可以通过这个漏洞诱骗用户访问一个特殊构造的恶意网页。该 网页提交一个Javascript的html表单,表单会访问在路由器上运行的ncc/ncc2服务,该服务用于处理诸如用户名及口令更新的动态请求。(关注“安全牛”,回复“ncc2”可查看漏洞详细信息)
因此,攻击者得以获得路由器的完全控制权,并执行诸如开启telnet服务或改变路由器DNS设置,即网址嫁接(Pharming)攻击。后者尤其危险,它意味着受害者在输入正确域名的情况下,仍然被导向攻击者想让受害者访问的网站。
埃德金斯还发现ncc/ncc2服务里的其他问题,均为无需认证即可远程访问路由器的问题。
例如,通过ncc/ncc2服务可以访问到路由器的某些诊断功能,同样也可被用于开启telnet服务。埃德金斯认为,这个功能可能是为了方便ISP运行诊断测试而预留的,但却造成了严重的安全威胁。另外,由于ncc/ncc2服务的一个固件更新缺陷,可以通过HTTP POST请求上传文件到路由器的文件系统中。上传的文件被存储到与系统配置文件相同的位置,也就是说攻击者同样可以改写DNS设置。
如果在未登录路由器管理系统的情况下上传文件,路由器会给出错误警告,可实际上这时文件已经写入到路由器的文件系统中。但这种攻击只在路由器开启了广域网(WAN)管理功能的情况下可用,WAN功能允许远程登录路由器并改变设置。
虽然这个远程登录功能大多数用户并不需要,但还是有许多厂商在产品中加入这个功能,作为存储服务的一部分。智能路由器通常会配有USB端口,供用户插入移动存储设备,并可远程访问其中的内容。
许多型号的D-Link路由器都受上述漏洞的影响。埃德金斯已确认运行固件为1.02B10、1.05B03和2.01b02版本的D-Link DIR-820L型号路由器包含这些漏洞。他同时怀疑其他一些型号的路由器也受此影响,但他并未实际测试。另外,有3种型号的Trendnet路由器也受 漏洞影响,但厂商已将问题修复。
此文完成时D-Link官方尚未发表评论。
安全牛评:目前,已有很多路由器都拥有阻止CSRF攻击的保护机制。极路由技术副总康晓宁曾表示,路由器各种各样的问题都可以归结为两种,一种是成本问题,一种是负不负责任的问题。
可能受影响的路由器列表:
D-Link DIR-808L (Rev A) – v1.03b05
D-Link DIR-810L (Rev A) – v1.01b04
D-Link DIR-810L (Rev B) – v2.02b01
D-Link DIR-826L (Rev A) – v1.00b23
D-Link DIR-830L (Rev A) – v1.00b07
D-Link DIR-836L (Rev A) – v1.01b03
TRENDnet TEW-711BR (Rev 1) – v1.00b31
TRENDnet TEW-810DR (Rev 1) – v1.00b19
TRENDnet TEW-813DRU (Rev 1) – v1.00b23