TP-Link Wi-Fi扩展器远程代码执行漏洞分析

admin 2019-8-5 153

WiFi扩展器可以放大WiFi信号,主要用于大型或多层住宅,以及路由器信号无法覆盖家庭的情况下。扩展器的原理是从主路由器处获取WiFi信号,并广播道其他WiFi信号弱或没有信号的区域。
IBM X-Force安全研究人员 Grzegorz Wypych近日在TP-Link Wi-Fi扩展器中发现一个0 day漏洞。攻击者成功利用该漏洞可以通过HTTP Header中伪造的user agent域来进行任意命令执行。这表明远程攻击者可以完全控制设备,并以设备合法用户的权限来运行命令。
研究人员发现有漏洞的型号是TP-Link RE365,固件版本为1.0.2,build为20180213 Rel. 56309。该型号是研究人员检查有RCE漏洞的唯一一个,经过内部测试,TP-Link确认受影响的型号还有RE650, RE350和RE500。该漏洞CVE编号为CVE-2019-7406,TP-link已经发布了补丁。
无需认证
研究人员很惊讶该漏洞的点在于攻击者无须登陆或认证Wi-Fi扩展器就可以利用该漏洞。而且在一般的攻击链中,需要进行权限提升,但本例中,无须权限提升所有设备上的进程都是以root级权限运行的。默认以root级权限运行风险非常大,因为所有成功入侵该设备的攻击者都可以执行任意的动作。
与其他路由器一样,该扩展器也是MIPS架构的,下面首先分析下发送给WiFi扩展器的HTTP GET请求。这很重要,因为攻击者想要尝试连接到扩展器来建立网络连接。如果攻击者已经连接到网络,就可以很容易地访问设备,但真正的影响来自于通过端口转发来从互联网访问设备的外部。
下图是允许在目标RE365 Wi-Fi扩展器上执行任意shell命令的HTTP请求。可以从被黑的设备上看到请求的参数。下图是用Burp Suite获取的图像:

图1: 发送给WiFi扩展器的伪造的HTTP请求
下面分析远程代码执行漏洞的细节。为了更好地图形化显示,研究人员使用了IDA。
系统调用执行RCE漏洞
在IDA中分析二进制文件,可以检查特定的user agent域,这可以检查用户访问WiFi扩展器的浏览器类型。可以看出有一个自动的注释引用了字符串Mobile Agent: %s,打印在设备的console屏上, execve系统调用本不应该使用的。该系统调用可以在console上执行任意内容。

图2: PRINTF_ECHO函数执行流表明设备console的用户代理
下图表明使用shell命令echo的消息被用函数execFormatCmd发送到console。后者内部使用了execve系统调用,这也是该RCE漏洞的根源所在。

图3: execve系统调用和定义的函数的分层封装
调用execFormatCmd会执行系统调用execve,可以用在telnetd之上的reverse shell来合并远程代码执行漏洞和用户代理域。Telnetd是远程登陆用的开源telnet服务器daemon。

图4: 执行sub_40B740命令的execFormatCmd函数
函数vsprintf是可以通过缓冲区溢出利用的块,但无法在MIPS架构的设备中覆写返回地址。在本例中,外部攻击者可以触发DOS攻击,这要比RCE漏洞稍好一些。
图5是要执行的函数sub_40B740的主体,会创建一个子进程来在设备console上打印消息。该子进程是用fork函数创建的。再次使用了execve,因为该命令可以在没有任何限制的情况下执行任意的shell命令。

图5: Execve sys call+用户控制的输入
下图是完全被黑的设备的开放telnet会话。在连接到TCP 4444端口后,研究人员可以在没有权限提升的情况下获取WiFi扩展器的root级shell,所以所有进程都是以root权限运行。

图6: 对被黑设备的无限访问
Wi-Fi扩展器潜在威胁分析
WiFi扩展器在各大电商平台都有销售。这些设备主要用于家庭和小型企业,以及大型企业的网络。因此,该漏洞可能会影响大量不同的终端用户。该漏洞的影响包括非认证的访问,比如要求设备浏览到僵尸网络的C2服务器或感染域。Mirai感染iot设备形成僵尸网络就是用自动化脚本来以root权限运行。
补丁
TP-Link安全团队已经确认有4款产品受到该漏洞的影响。除了E365和RE650外,还有RE350和RE500这两个型号。
TP-Link还为受影响的产品更新了固件:
· RE365 model
· RE500 model
· RE650 model
· RE350 model


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:一次真实axis2渗透测试
下一篇:TP-Link无线路由器怎么修改WiFi无线网络名称?
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回