【漏洞预警】D-link 850L等一系列产品存在多处漏洞

BaCde 2656天前

友讯集团（D-Link）是一家成立于1986年的上市网络公司，其产品遍布全球100多个国家。2017年8月8日，白帽汇监测到D-link 850L路由器被曝出存在多处漏洞，白帽汇对这几处漏洞进行了跟踪和分析。发现该型号的路由器存在两处远程命令执行漏洞和密码读取漏洞，其中一处为不需要授权的远程命令执行,但是需要在局域网内的情况下才可以触发。此次存在的漏洞危害极高，会导致路由器被攻击者控制，从而成为僵尸路由器，同时，被控制的路由器也可能会被攻击者劫持，窃取用户隐私信息。危害严重。

在白帽汇分析过程中发现，除了D-link 850L这个型号的D-link路由器存在漏洞外，还有D-link 860L，D-link 865L，D-link 868L，D-link 610N+，D-link 845L，D-link 645，D-link 850L，D-link 629均受此漏洞影响。在FOFA系统中共有81553台对外开放的D-link无线路由设备，根据白帽汇FOFA系统显示全球中马来西亚，巴西，新加坡，美国和中国台湾地区都有大量使用。其中共有3404台设备受到严重影响。另外，有75%的设备存在信息泄露漏洞i。此次漏洞影响严重。

D-link 850L 全球分布情况(仅为分布情况，非漏洞影响情况)

D-link 850L 中国地区分布情况，不包含港澳台地区(仅为分布情况，非漏洞影响情况)

漏洞原理与危害

此次漏洞共有三处:

1、未授权访问信息泄露漏洞，可泄露管理员密码等信息

2、远程命令执行漏洞。需要登录后才可以出发。可利用上一步获取的管理信息进行登录后利用。

3、未授权访问的远程命令执行，需要通过局域网环境才可以触发。

未授权访问信息泄露

通过在admin 接口更改设置的时候，设置将以xml格式发送至hedwig.cgi，hedwig.cgi会调用fatlady.php文件中代码进行验证，然后请求pigwidgeon.cgi ，如果设置有效则应用新设置。

fatlady.php通过加载services脚本进行验证，在这里可以加载任何的 .php拓展名的文件。例如我们可以加载用户名和密码的文件获取用户密码列表。

远程命令执行漏洞

通过上面的获取的验证信息后，我们可以通过在ntp服务的地方进行命令注入，从而导致远程命令执行漏洞。在白帽汇测试的过程中发现，在登录需要输入验证码的时候，导致我们登录失败，从而导致远程命令执行漏洞执行不成功。

未授权访问的远程命令执行

D-Link 850L 以root身份运行dnsmasq守护程序。守护进程从DHCP服务器执行host-name参数。这个漏洞需要与受害者在同一个局域网。我们可以通过修改设置host-name并发送到DHCP服务,我们可以通过修改/etc/dhcp/dhclient.conf文件来实现攻击。以下的DHCP请求会在路由器上执行ping命令。 send host-name = ";ping 192.168.0.100";

漏洞影响

这里由于第三条漏洞条件无法满足，故无法进行实际探测。白帽汇针对未授权访问信息泄露和以及登录后的远程命令执行漏洞进行了分析。

全球范围内，有75%的设备受信息泄露漏洞影响，在泄露信息漏洞基础上利用的远程命令执行漏洞影响的共有3404台设备，存远程命令执行漏洞最多的国家是新加坡，共有694台设备受影响；其次是美国，共有600台设备受影响；韩国排第三，共有348台设备受影响。中国大陆地区国内仅有9台设备受影响，分布在辽宁，江苏，河南，广东，浙江，上海四个地区。中国台湾省共有182台受漏洞影响，中国香港特别行政区共有96台设备受影响。