Humax WiFi路由器被爆0day漏洞,可获得管理员权限

简介: 本文讲的是Humax WiFi路由器被爆0day漏洞,可获得管理员权限,最近,在2017年5月,来自Trustwave SpiderLabs的Felipe Cerqueira和Thiago Musa在HUMAX WiFi路由器型号HG-100R *中发现了一个远程漏洞。
本文讲的是 Humax WiFi路由器被爆0day漏洞,可获得管理员权限最近,在2017年5月,来自Trustwave SpiderLabs的Felipe Cerqueira和Thiago Musa在HUMAX WiFi路由器型号HG-100R *中发现了一个远程漏洞。此漏洞可能会让攻击者破坏WiFi凭据,更危险的是查看路由器控制台管理员密码。该设备是由巴西一家主要互联网提供商,但也被用于世界许多其他地区。

脆弱性

该漏洞首先构造绕特殊的请求绕过管理控制台的身份验证。这是因为路由器在“url/api”中为某些方法返回应答是时无法验证会话令牌。攻击者可以使用此漏洞检索敏感信息,如私有/公共IP地址,SSID名称和密码。

cookie登录基本上是在base64中包含uid和pwd的json数据:

登录名= { “UID”: “管理员”, “PWD”: “4cd08a961f5c”};

在下面的示例中,您可以看到对路由器的请求,而不提供任何身份验证以及包含敏感数据(如SSID名称,IP地址和WiFi密码)的响应。

Humax WiFi路由器被爆0day漏洞,可获得管理员权限

另一个漏洞允许攻击者绕过身份验证,以访问备份功能以保存(/view/basic/GatewaySettings.bin)和恢复(/view/basic/ConfigUpload.html)配置。两者都忽略cookies“login”和“login_token”的缺失,并将接受下载和上传完整路由器配置的请求。

通过使用“/view/basic/GatewaySettings.bin”和“/view/basic/ConfigUpload.html”提供的备份生成/还原功能,我们可以查看,更改并最终恢复特制配置。作为这种类型的漏洞的一个示例,攻击者可以使用它来更改DNS配置,并将流量重定向到由其控制的服务器,以窃取私人信息,如密码或银行帐户信息。

文件GatewaySettings.bin的仔细分析也显示管理密码存储在那里,无需加密。

基本上,文件由一个头组成,从字节96组成,它以base64编码。

Humax WiFi路由器被爆0day漏洞,可获得管理员权限

在代码00 00 4c c8(这是前面的数据的长度)之后,所有以下数据都是用base64编码的。解码后bin文件很有意义。

Humax WiFi路由器被爆0day漏洞,可获得管理员权限

在这个例子中我们可以看到用户'admin'的明文中的密码'AAAAAAAA'。有一个用户'root'使用密码'humax'。此帐户的具体用途尚未确定。

如果您的路由器允许通过Internet进行远程配置管理,攻击者可以轻松获得访问权限,并更改将影响Internet流量的配置。然而,即使在面向Internet的接口上配置管理不可用,攻击者仍然可以利用WiFi路由器在公共场所的漏洞,例如在咖啡馆或机场。

避免风险?

不幸的是,多次尝试向Humax披露这一漏洞,但我们还没有得到该组织的任何回应。因为这个漏洞没有官方补丁。为了防止远程利用,请确保您的WiFi路由器不会暴露在Internet中:禁用“远程配置管理”选项,如下所示:

Humax WiFi路由器被爆0day漏洞,可获得管理员权限

通过以下URL访问您的HUMAX WiFi路由器:http://192.168.0.1,您应该可以在路由器本身的底部找到凭据。

默认情况下,此配置未启用,但应仔细检查。如果您无法访问路由器,请尝试联系您的Internet服务提供商并要求支持,或者也可能需要新的路由器。




原文发布时间为:2017年6月30日
本文作者:愣娃
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
1月前
|
网络协议 网络虚拟化 网络架构
【第一期】大话计算机网络(猫、路由器、wifi)
【第一期】大话计算机网络(猫、路由器、wifi)
24 1
【第一期】大话计算机网络(猫、路由器、wifi)
|
网络协议 网络架构
两个路由器如何通过一根网线组建局域网(非wifi桥接方式)
两个路由器如何通过一根网线组建局域网(非wifi桥接方式)
501 0
|
网络安全 数据安全/隐私保护 网络架构
OrangePi Zero 运行OpenWRT做迷你WIFI路由器
**香橙派官方固件: **http://www.orangepi.cn/downloadresourcescn/orangepizero/2017-05-05/orangepizero_cbc9edd59d5a37fc4a223a6.
7713 0