重磅 | 关于网关类设备0-day漏洞攻击的报告

xiannv 1679天前

本报告由CNCERT物联网安全研究团队与360网络安全研究院（360 Netlab）联合发布

一、概述

2020年3月17日，国外知名漏洞平台Exploit Database网站公布了一个针对Netlink GPON路由器设备的漏洞POC[1]。该漏洞是远程命令执行类的漏洞，黑客可以利用该漏洞在Netlink GPON路由器上进行恶意样本植入，进而控制设备发起DDos攻击、窃取敏感信息等恶意行为。

经与360网络安全研究院共同研究与分析，我们确定该漏洞与之前发现的一起物联网攻击威胁事件有关。2020年2月底我们发现有黑客组织利用0-day漏洞入侵并控制境内的设备，溯源分析发现被攻击设备是国内某厂商的网关类设备，设备类型与Netlink属于同类型设备，在野利用的0-day漏洞与[1]中发布的漏洞也一致。此外我们进一步还发现共计6个厂商9款型号的设备中存在同样的漏洞。因此，我们猜测厂商间的设备存在OEM情况，目前尚不清楚漏洞源头。

另外根据最新报告，发现境外APT组织利用深信服VPN设备的漏洞对我国境内多家重要机构持续发起攻击的行为[2]。随着越来越多的攻击事件被披露，说明网络空间中的各类物联网设备，尤其是路由器网关等关键设备，已成为各类黑客组织和APT组织的重要攻击目标。

二、漏洞分析

受影响的的网关类设备将Web管理系统暴露在互联网侧（WAN口），而它们本应该只向内网（LAN口）开放，因此攻击者可以远程攻击受影响的相关设备。

我们发现某品牌的网关设备GT3200-4F2P是此次0-day漏洞攻击的其中一个目标，下文主要以该设备为案例进行详细分析。

1. 默认密码漏洞

我们发现在配置文件：

/etc/product/config_epon.xm l或/etc/product/config_gpon.xm l中存在默认账号密码e8c/e8c。它们可被用于登陆设备Web管理系统。<Value Name="E8BDUSER_NAME" Value="e8c"/><Value Name="E8BDUSER_PASSWORD" Value="e8c"/>

此外，我们还发现该设备存在后门账号功能。

1.当配置文件PROVINCE_BACKDOOR_ENABLE为1时，允许后门账户e8ehome登陆，登陆密码通过PROVINCE_BACKDOOR_PWDTYPE选择；

2.当配置文件PROVINCE_BACKDOOR_PWDTYPE为1时，登陆密码为设备的MAC地址；

3.当配置文件PROVINCE_BACKDOOR_PWDTYPE为0时，登陆密码为e8ehome。

4.我们观察到攻击者使用了以下登陆账号和密码进行多次尝试：

admin/adminadminisp/adminispe8c/e8cuser/user

2. target_addr命令注入漏洞

漏洞类型：远程命令执行（需要登陆）

漏洞原因：在设备/bin/boaWeb服务端程序内存在2个函数formPing()和formTracert()。

它们在处理/boaform/admin/formPing和/boaform/admin/formTracertPOST请求时，未检查target_addr参数就调用系统ping和traceroute命令，从而导致命令注入漏洞。