某型号路由器的缓冲区溢出就能危及成千上万的WiFi用户
公共无线网络的隐私和安全危害有了完美例证,一名以色列黑客展示了他拿下整座城市免费WiFi网络的能力。
某天,在从公司回家的路上,以色列网络安全公司 Equus Technologies 的研究主管阿米哈伊·内德曼,发现了一个他之前从未见过的无线热点。不同寻常的是,该热点竟然出现在根本没有建筑物的区域。
最后他发现,这个广播成“FREE_TLV”的热点,是以色列特拉维夫当地政府设立的城域免费WiFi网络。这让内德曼好奇:到底有多安全呢?
接下来的几周里,找出侵入该网络的途径就成了他业余时间的副业。首先,他从遍布全城的接入点之一连进网络,核对他的新IP地址。这地址通常是分配给所有WiFi客户端访问互联网都要经过的路由器的。
然后,他断开连接,从互联网扫描该IP地址以找出开放端口。他发现,该路由器在443端口(HTTPS)开放了一个基于Web的登录界面。
该界面显示了制造商的名称——Peplink,但除此之外就没别的了,设备型号这些都没有。对该Web界面的分析并没有揭露任何基本漏洞,比如SQL注入、默认或弱登录凭证、身份验证绕过漏洞等。
他意识到,对该设备的实际固件进行更深入的分析是必要的。但识别该设备,找到该从制造商官网下载哪种具体固件并不容易,因为Peplink为各种行业提供很多类型的网络设备。不过,他最终锁定了Peplink的 Balance 300 高端负载均衡路由器第5版。
该固件采用了基本的异或加密来让第三方更难以逆向固件文件系统,但该方式相对容易被绕过。一旦所有东西都未封包并载入模拟器,内德曼就可以访问构成该路由器Web界面的CGI(通用网关接口)脚本。
内德曼在处理注销过程的CGI脚本中找到缓冲区溢出漏洞并没有花去太多时间。只需向该脚本发送超长会话cookie,漏洞就可被利用,成功的利用会导致任意代码执行,最终接管整个设备。
11月10号在罗马尼亚首都布加勒斯特举行的DefCamp安全大会上,内德曼展示了他的发现及逆向过程。因为可能会触及法律纠纷,他并没有说明是否在运营特拉维夫公共WiFi网络的 Peplink Balance 路由器上进行了实际漏洞利用测试。
然而,当他向Peplink报告该漏洞时,这家公司确认了漏洞,却是在后续发布的固件更新中才打上补丁。所以,在内德曼发现该漏洞时,FREE_TLV的路由器固件确实是脆弱的。
虽然在路由器中发现漏洞并不少见,但此案例依然十分突出,因为它显现出可以通过黑掉市政设立的大型公共WiFi网络,攻击成千上万的用户。
通过控制路由器,攻击者可偷偷窥探流经该设备的所有未加密用户流量,捕获敏感信息。他们还可以发起活动攻击,比如在用户访问合法网站时重定向用户到流氓Web服务器,或者注入恶意代码到非HTTPS网页中。
大型网络通常都是标准化的,采用同型号的设备以便于管理。可供侵入其中一个接入点的漏洞,就能用在整个网络中所有的接入点上。
此类攻击,就是为什么用户被强烈建议在从公共或不可信WiFi网络接入互联网时,要采用VPN(虚拟专用网)服务的原因所在。
内德曼表示,他惊讶于Peplink对其报告的响应,以及该公司处理漏洞的方式。他强调,网络中路由器的不安全部署方式,也有可能促成此类攻击。他们的管理界面不应该暴露在互联网上。
文章转自安全牛
欢迎加入粉丝群:301520254
实验吧微信公众号:shiyanbar