由世界各地的互联网服务供应商向客户提供超过70万个ADSL路由器包含严重的缺陷,使黑客远程把他们的控制。
大多数路由器都有一个名为webproc.cgi的固件组件的“目录遍历”缺陷,该缺陷允许黑客提取敏感的配置数据,包括管理凭证。这个缺陷并不是新出现的,已经有很多研究人员报道过了自2011年以来在各种路由器模型。
几个月前,安全研究员凯尔·洛维特在空闲时间分析一些ADSL路由器时,偶然发现了这个漏洞。他进一步调查,发现了来自不同制造商的数十万台易受攻击的设备,这些设备由互联网服务提供商分发给十几个国家的互联网用户。
目录遍历漏洞可以通过非授权用户用来提取名为config.xml中的敏感文件,这是大多数受影响的路由器和包含其配置设置。
该文件还包含管理员和设备上其他帐户的密码散列;用户的ISP连接(PPPoE)的用户名和密码;一些isp使用的TR-069远程管理协议的客户端和服务器凭据;以及配置的无线网络的密码(如果该设备具有Wi-Fi功能)。
根据Lovett的说法,路由器使用的哈希算法很弱,所以密码哈希很容易被破解。攻击者可以以管理员身份登录并更改路由器的DNS设置。
通过控制路由器使用的DNS服务器,当他们试图访问合法网站的攻击者可以引导用户访问恶意服务器。大规模DNS劫持路由器对攻击,被称为路由器域欺骗,已成为普遍在过去的两年。
在某些设备上下载config.xml文件甚至不需要一个目录遍历漏洞;只知道正确的网址,它的位置就足够了,洛维特说。
许多路由器有额外的缺陷。例如,60%左右有一个隐藏的账户支持与易于想这是由所有的人共享的硬编码密码。有些设备不具备的目录遍历漏洞,但有这样的后门账号,洛维特说。
大约有四分之一的路由器还可以远程获取其活动内存的快照,即内存转储。这很糟糕,因为这些设备的内存可能包含有关通过它们的互联网流量的敏感信息,包括各种网站的纯文本证书。
通过分析几个内存转储,洛维特发现迹象表明路由器已经被攻击者探测,其中大部分来自中国的IP地址。
大多数他确定了易受攻击的设备都具有路由功能的ADSL调制解调器通过互联网服务供应商在哥伦比亚,印度,阿根廷,泰国,摩尔多瓦,伊朗,秘鲁,智利,埃及,中国和意大利都提供给客户说。几个也分别在美国和其他国家发现的,但他们似乎是关闭的,现成的设备,而不是通过互联网服务供应商分布。
洛维特通过网络扫描和使用初段,为互联网连接设备一家专业的搜索引擎找到脆弱的路由器。据他介绍,70万保守估计,仅覆盖了可以远程,因为他们有自己的基于Web的管理界面暴露在互联网上进行有针对性的设备。
有迹象表明,具有相同的缺陷,但没有配置远程管理可能有更多的设备。那些可以从本地网络内从例如通过恶意软件或通过跨站请求伪造(CSRF),劫持用户的浏览器来执行未授权的操作的技术来攻击。
受影响的设备型号包括中兴H108N和H108NV2.1;d-Link的2750E,2730U和2730E;SITECOM WLM-3600,WLR-6100和WLR-4100;烽火HG110;星球ADN-4101;Digisol DG-BG4011N;和天文台电信BHS_RTA_R1A。其他易受攻击的设备已经被打上了特定的互联网服务供应商和他们的真正品牌或型号数量无法确定。
然而,洛维特发现一个共性:绝大多数受影响的路由器是由一家中国公司名为运行的固件开发深圳市共进电子,这也确实的T&W商标业务。
深圳工进电子有限公司是一家专业从事网络和通讯产品OEM(原始设备制造商)和ODM(原始设计制造商)的公司。它根据自己的规格以及其他公司的规格生产设备。
根据在WikiDevi上搜索,计算机硬件的在线数据库,深圳市共进电子被列为制造商从大量的供应商,包括d-Link的,华硕,阿尔卡特朗讯,贝尔金,合勤科技和Netgear网络设备。目前尚不清楚有多少列出的设备也运行通过固件可能包含由洛维特确定漏洞的公司开发。
它也不清楚深圳市共进电子是知道的缺陷,或者如果它已经发布的固件及其合作伙伴的修补版本。
该公司没有回应置评请求,据洛维特说,他试图通知该公司也没有得到答复。
研究人员还通知受影响的设备供应商,他管理的识别,以及美国计算机应急准备小组(US-CERT)。雷竞技比分
他周三在英国的一个安全会议上披露了他的一些发现,这是一个更大的关于易受攻击的SOHO嵌入式设备(路由器、网络附加存储设备、IP摄像头等)的演讲的一部分。这次谈话的重点是一项研究,该研究发现,由于默认凭证和其他众所周知的漏洞,超过2500万台SOHO设备暴露在来自互联网的攻击之下。