小型企業(yè)路由器漏洞揭秘

引言：近年來，路由器以成了上網(wǎng)必備的工具，只要有網(wǎng)絡(luò)那就少不了有一個路由器，就在人們享受路由器便捷的時候，誰又曾想過這個設(shè)備的安全性?如今各種廠商路由器都或多或少爆出過一些漏洞，給家庭網(wǎng)絡(luò)帶來了不小的影響，如今家用路由器安全已經(jīng)不容忽視了。

我國有小微企業(yè)2000多萬家，除了一些財力雄厚的企業(yè)有較好的上網(wǎng)環(huán)境外，還有眾多小微企業(yè)需自己建立外接互聯(lián)網(wǎng)。路由器已經(jīng)成為了小企業(yè)上網(wǎng)必備的工具，只要辦公室有網(wǎng)絡(luò)那就少不了有一個路由器（如圖1），就在人們享受路由器便捷的時候，誰又曾想過這個設(shè)備的安全性?如今各種廠商路由器都或多或少爆出過一些漏洞，給網(wǎng)絡(luò)安全性帶來了不小的影響，如今路由器安全已經(jīng)不容忽視了。如果單位路由器被黑客控制，那么用戶的網(wǎng)銀、電子郵箱等各類賬號密碼都面臨失竊風險（如圖2）。

路由器的漏洞主要分為密碼破解漏洞、Web漏洞、后門漏洞和溢出漏洞。路由器密碼破解漏洞:WiFi的加密方式一般有三種WEP、WPA 和 WPA2。WEP加密方式加密強度相對較低，現(xiàn)在幾乎被淘汰。WPA和WPA2存在暴力破解的漏洞。

圖1 路由器連接設(shè)置

圖2 路由器漏洞

路由器Web漏洞

主要是CSRF、命令執(zhí)行、XSS（跨站）等。路由器后門漏洞:這個后門是指開發(fā)軟件的程序員為了以后方便調(diào)試和維護而留下的一個具有很高權(quán)限的后門。這個后門一般不公開，如果被網(wǎng)絡(luò)安全研究者發(fā)現(xiàn)并公開，這就意味著攻擊者可以繞過你設(shè)置的一些安全認證直接控制你的路由器。

路由器溢出漏洞

攻擊者可以利用這個漏洞來執(zhí)行非授權(quán)指令，進而獲得系統(tǒng)特權(quán)，從而執(zhí)行各種非法的操作?，F(xiàn)在常用的路由器有TP-Link、Tenda、Netcore（磊 科）、D-Link和華為等一些廠家的。我主要介紹一下上面五個廠商路由器的漏洞。

TP-Link的漏洞

這個漏洞是前一陣在WooYun看到的，標題是《全國首發(fā)TP-Link wr-842n等多款無線路由器（新界面2015）存在多個致命漏洞》利用這個漏洞可以任意下載配置文件，繞過設(shè)備認證，隨意修改系統(tǒng)配置。下面介紹一下具體的利用和防御方法。

漏洞測試方法:首先在瀏覽輸入http://192.168.1.1/config.bin可以直接下載路由器的配置文件，然后使用openssl enc -d-des-ecb -nopad -K 478DA50BF9E3D2CF -in config.bin命令提取配置信息，然后在提取出來的結(jié)果中找到類似authKey 0rZily4W9TefbwK的信息，這段就是加密過的用戶后臺登錄密碼。這段加密字串“0rZily4W9TefbwK”通過用戶瀏覽器運算生成，且存在算法漏洞，加密字串雖不可逆，但存在大量碰撞，即任意字符可生成相同的加密字串。

漏洞修復(fù)方法：關(guān)于這個漏洞TP-Link官網(wǎng)已經(jīng)發(fā)布了修復(fù)補丁，下載地址為http://service.tp-link.com.cn/detail_download_2043.html。

TP-Link CSRF漏洞

用戶若仍使用默認出廠密碼，在訪問了包含惡意腳本的網(wǎng)頁時，路由器的DNS即遭篡改(“弱密碼”漏洞)，從而劫持連接此路由器的所有設(shè)備。其中受到影響型號包 括：TL-WR740N、TLWR840N、TL-WR841NV8等型號2013年前的固件版本。如圖3的TP-Link路由器。

漏洞修復(fù)方法：目前廠商已經(jīng)發(fā)布了升級補丁以修復(fù)這個安全問題，請到TPLink官網(wǎng)下載。

圖3 TP-Link路由器

圖4 Tenda路由器

Tenda的cookie hijacking漏洞

利用cookie hijacking可以免密碼登錄路由器。

漏洞測試方法:通過手工建立Cookie值然后提交能繞過登錄密碼驗證界面。也可以利用網(wǎng)上現(xiàn)成的測試工具來測試自己的路由器是不是有這個漏洞。

漏洞修復(fù)方法：這個漏洞也是在WooYun看到的，編號為WooYun-2013-17767的漏洞。廠商對漏洞的回復(fù)“CNVD確認漏洞情況（在一些家用版本上未復(fù)現(xiàn)），還請作者告知測試用版本編號，轉(zhuǎn)由CNVD協(xié)調(diào)生產(chǎn)廠商處置”。實際上廠商也沒有給出很好的修復(fù)方案?？梢試L試更新一下路由器的固件。圖4為Tenda路由器。

Tenda無線路由器遠程命令執(zhí)行后門漏洞

Tenda的 W330R、W302R無線路由器固件最新版本中存在后門，該漏洞通過一個UDP數(shù)據(jù)包即可利用，如果設(shè)備收到以某些字符串為開頭的數(shù)據(jù)包，即可觸發(fā)此漏洞執(zhí)行各類命令，甚至以root權(quán)限執(zhí)行任何命令。

漏洞測試方法：echo-ne "w302r_mfgx00x/bin/ls" | nc -u -q 5 192.168.0.17329。

漏洞修復(fù)方法：目前廠商還沒有提供補丁或者升級程序。

Netcore（磊 科）系 列路由器中存在一個后門，進入后門的口令被“硬加密”(hardcoded)寫入到設(shè)備的固件中，而且所有的口令似乎都一樣。攻擊者可以輕易的利用這個口令登錄路由器，而且用戶無法更改或禁用這個后門。

該后門漏洞形成的原因為:磊科路由器內(nèi)置了一個叫做“IGDMPTD”的程序，該程序會隨路由器啟動，并在公網(wǎng)上開放UDP協(xié)議的53413端口，使攻擊者可以通過公網(wǎng)在磊科路由器上執(zhí)行任意系統(tǒng)命令，進而控制路由器，因此該漏洞危險等級極高。

漏洞測試方法：首先執(zhí)行netcore_POC.py，用這個登錄路由器然后就可以執(zhí)行命令了。

漏洞修復(fù)方法：目前廠商還沒有提供補丁或者升級程序。

圖5 D-Link路由器

D-Link路由器溢出漏洞

漏洞主要還影響D-Link DIR-645 、D-Link DIR-865和D-Link DIR-845。該漏洞是CGI腳本authentiction.cgi在讀取POST參數(shù)過程中名為“password”參數(shù)的值時可以造成緩沖區(qū)溢出，并能遠程執(zhí)行命令。D-Link DIR-645，其固件版本1.03B08同時還存在多個緩沖區(qū)溢出和跨站腳本漏洞，包 括 ："post_login.xml"、"hedwig.cgi"上的緩沖區(qū)溢 出，"bind.php"、"info.php"、"bsc_sms_send.php"上的跨站腳本、遠程攻擊者可利用這些漏洞在受影響設(shè)備中執(zhí)行任意代碼，執(zhí)行未授權(quán)操作。如圖5為D-Link路由器。

漏洞測試工具:首先執(zhí)行DIR645-f - V1.03.py，會在路由器的2323端口開放Telnet服務(wù)然后使用Telnet登錄路由器。

漏洞修復(fù)方法: 目前廠商已經(jīng)發(fā)布了升級補丁以修復(fù)這個安全問題，請訪問廠商主頁http://www.dlink.com。

華碩路由器CSRF漏洞

用戶若仍使用默認出廠密碼，在訪問了包含惡意腳本的網(wǎng)頁時，路由器的DNS即遭篡改(“弱密碼”漏洞)，從而劫持連接此路由器的所有設(shè)備。受影響的路由器型號有：RT-AC66R、RTAC66U、RT -AC68U、RT-N66R、RT-N66U、RTAC56U、RT-N56R、RTN56U、RT-N14U、RTN16和RT-N16R。

漏洞修復(fù)方法: 廠商已提供修復(fù)補丁，有需要的可以到官網(wǎng)升級最新的固件。

國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的“2013年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述”顯示，D-Link、思科、Netgear、Tenda等多家廠商的路由器產(chǎn)品存在后門。黑客可由此直接控制路由器，進一步發(fā)起DNS(域名系統(tǒng))劫持、竊取信息、網(wǎng)絡(luò)釣魚等攻擊，直接威脅用戶網(wǎng)上交易和數(shù)據(jù)存儲安全。這意味著相關(guān)路由器成為隨時可被引爆的“地雷”。下面就介紹一下這些廠商的路由器后門漏洞。

D-Link路由器后門漏洞

D-Link部 分 路由器使用的固件版本中存在一個人為設(shè)置的后門漏洞。攻擊者通過修改User-Agent值 為“xmlset_roodkcableoj28840ybtide”即可繞過路由器Web認證機制取得后臺管理權(quán)限。取得后臺管理權(quán)限后攻擊者可以通過升級固件的方式植入后門，取得路由器的完全控制權(quán)。漏洞影響路由器型號：DIR-100、DIR-120、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TMG5240、BRL-04R、BRL-04UR、BRL-04CW 以 及BRL-04FWU。

漏洞修復(fù)方法:廠商已提供修復(fù)補丁，可以到官網(wǎng)升級最新的固件。

Cisco路由器遠程特權(quán)提升漏洞

允許未驗證遠程攻擊者獲得對設(shè)備的root級的訪問。漏洞影響路由器 型 號:Cisco RVS4000、Cisco WRVS4400N、Cisco WRVS4400N和Cisco WAP4410N等多款路由器設(shè)備。漏洞修復(fù)方法:現(xiàn)在廠商可以提供修復(fù)補丁，在官網(wǎng)上可以升級最新的固件。如圖6是Cisco的某種型號路由器。

圖6 Cisco路由器

NetGear后門漏洞和Net－GearDGN2000Telnet后門未授權(quán)訪問漏洞該后門是廠商設(shè)置的超級用戶和口令，攻擊者可以用來在相鄰網(wǎng)絡(luò)內(nèi)獲取路由器的root權(quán)限，進而植入木馬完全控制路由器。NetGearDGN2000產(chǎn)品存在的安全漏洞被利用后可導(dǎo)致執(zhí)行任意系統(tǒng)命令。受影響的路由器型號包括 有 ：WNDR3700、WN －DR4500、WNDR4300、R6300 v1、R6300v2、WNDR3800、WNDR3400v2、WNR3500L、WNR3500L v2、WNDR3300和DGN2000。

漏洞修復(fù)方法:NetGear尚未對以上漏洞和后門提供解決方案，因此建議更換路由器。

總結(jié)

有些漏洞廠商目前還沒有提供補丁，我個人認為好點的辦法就是限制非法人員訪問路由器，一般訪問路由器是通過無線連接之后然后訪問路由器后臺，還有就是通過WAN訪問。建議關(guān)閉路由器WAN訪問，無線密碼設(shè)置復(fù)雜一些，禁用WPS功能，使用WPA2加密，還有就是升級到最新的路由器固件。

以上漏洞案例是對網(wǎng)上一些路由器案例的總結(jié)，為了方便讀者查找和測試自己的路由器是不是存在漏洞，以便修復(fù)。尤其對于小型企業(yè)而言，由于不像大型企業(yè)網(wǎng)絡(luò)管理那樣完備，路由器的漏洞更是直接關(guān)乎個人及企業(yè)利益。因此，小型企業(yè)在使用路由器的同時必須加強平時對網(wǎng)絡(luò)設(shè)備的保護的思想意識及技術(shù)管理，在保障個人及企業(yè)隱私和利益不受損失。