世界各地互联网服务提供商提供给客户的70多万台ADSL路由器存在严重缺陷,可能会被远程黑客控制。
大多数路由器在一个叫webproc.cgi的固件组件中都有一个“目录遍历”漏洞,这个漏洞允许黑客提取敏感的配置数据,包括管理凭证。这一缺陷并不是新出现的,已有多名研究人员报道过自2011年以来在不同的路由器模型.
安全研究员凯尔·洛维特几个月前在一些ADSL路由器上发现了这个漏洞,他在业余时间分析这些路由器。他进一步调查,发现了来自不同制造商的数十万台易受攻击的设备,这些设备由互联网服务提供商分发给十几个国家的互联网用户。
未经身份验证的攻击者可以利用目录遍历漏洞提取一个名为config.xml的敏感文件,该文件位于大多数受影响的路由器上,并包含它们的配置设置。
该文件还包含管理员和设备上其他帐户的密码哈希值;用户的ISP连接(PPPoE)的用户名和密码;一些isp使用的TR-069远程管理协议的客户端和服务器凭证;和配置的无线网络密码,如果设备具有Wi-Fi能力。
洛维特说,路由器使用的哈希算法很弱,所以密码哈希很容易被破解。攻击者可以以管理员身份登录并更改路由器的DNS设置。
通过控制路由器使用的DNS服务器,攻击者可以在用户访问合法网站时将用户引导到非法服务器。大规模的针对路由器的DNS劫持攻击,被称为路由器嫁接,在过去两年中变得普遍。
在一些设备上,下载config.xml文件甚至不需要目录遍历缺陷;洛维特说,只要知道正确的网址就足够了。
许多路由器还有其他缺陷。例如,大约60%的人有一个隐藏的支持帐户,该帐户有一个易于猜测的硬编码密码,所有人都共享。洛维特说,有些设备没有目录遍历漏洞,但有这个后门账户。
大约四分之一的路由器还可以远程获取其活动内存的快照,即内存转储。这很糟糕,因为这些设备的内存可能包含通过它们的互联网流量的敏感信息,包括各种网站的纯文本凭证。
通过分析几处内存转储,洛维特发现,这些路由器已经被攻击者探测过了,攻击者大多来自中国的IP地址。
他发现的大多数易受攻击的设备都是具有路由器功能的ADSL调制解调器,由互联网服务提供商提供给哥伦比亚、印度、阿根廷、泰国、摩尔多瓦、伊朗、秘鲁、智利、埃及、中国和意大利的客户。在美国和其他国家也发现了一些,但它们似乎是现成的设备,不是由互联网服务提供商分发的。
洛维特通过网络扫描和SHODAN(专门搜索联网设备的搜索引擎)发现了这些易受攻击的路由器。据他说,70万是一个保守的估计,而且只包括那些可以远程瞄准的设备,因为它们的基于web的管理界面暴露在互联网上。
可能还有更多的设备存在同样的缺陷,但它们没有被配置为远程管理。这些攻击可能来自本地网络,例如恶意软件或跨站请求伪造(CSRF),这是一种劫持用户浏览器以执行未经授权的操作的技术。
受影响的设备型号包括中兴H108N和H108NV2.1;D-Link 2750E, 2730U和2730E;Sitecom WLM-3600、WLR-6100和WLR-4100;FiberHome HG110;地球与- 4101;Digisol DG-BG4011N;和Observa Telecom BHS_RTA_R1A。其他易受攻击的设备都被打上了特定isp的标签,它们的真正制造商或型号无法确定。
然而,洛维特发现了一个共同点:绝大多数受影响的路由器运行的是由一家名为深圳Gongjin电子这家公司也使用T&W商标做生意。
深圳市工进电子有限公司是一家网络和电信产品的OEM(原始设备制造商)和ODM(原始设计制造商)。它根据自己的规格以及其他公司的规格生产设备。
根据在维基百科上搜索深圳市工金电子有限公司(Shenzhen Gongjin Electronics)是一家计算机硬件在线数据库的制造商,为众多供应商提供网络设备,包括D-Link、华硕(Asus)、阿尔卡特-朗讯(Alcatel-Lucent)、贝尔金(Belkin)、ZyXEL和Netgear。目前尚不清楚列出的设备中有多少也运行该公司开发的固件,这些固件可能包含洛维特发现的漏洞。
目前还不清楚深圳工金电子是否知道该固件存在缺陷,或者是否已经向合作伙伴分发了补丁版本的固件。
该公司没有回应置评请求,据洛维特说,他曾试图通知该公司,但也没有得到回复。
研究人员还通知了他设法确定的受影响设备供应商,以及美国计算机应急准备小组(US-CERT)。2020欧洲杯夺冠热门
周三,他在英国的一个安全会议上披露了自己的一些发现,这是有关SOHO嵌入式设备(路由器、网络存储设备、IP摄像头等)易受攻击的更大规模演讲的一部分。演讲的重点是研究发现,超过2500万台SOHO设备由于默认凭证和其他众所周知的漏洞而暴露在互联网攻击之下。