信息化觀察網(wǎng)

近日，安全研究人員發(fā)現(xiàn)了大量Netgear路由器固件中未修補(bǔ)的高危零日漏洞，該漏洞使79種Netgear設(shè)備型號(hào)有被完全接管root權(quán)限的風(fēng)險(xiǎn)，更糟糕的是該漏洞至今尚無(wú)補(bǔ)丁程序。

根據(jù)兩份單獨(dú)的安全報(bào)告，該漏洞是路由器固件中httpd Web服務(wù)器存在的內(nèi)存安全問(wèn)題，它使攻擊者可以繞過(guò)Netgear路由器的固件系統(tǒng)進(jìn)行身份驗(yàn)證。其中一個(gè)報(bào)告來(lái)自越南郵電集團(tuán)代號(hào)“d4rkn3ss”的研究人員，他在零日漏洞平臺(tái)ZDI上發(fā)布了該漏洞。另一個(gè)報(bào)告來(lái)自網(wǎng)絡(luò)安全公司Grimm安全研究人員Adam Nichols的獨(dú)立博客（鏈接在文末）。

多達(dá)79種NetGear設(shè)備受影響

根據(jù)ZDI報(bào)告，“httpd服務(wù)中存在特定缺陷，默認(rèn)情況下，該缺陷會(huì)偵聽(tīng)TCP端口80”，該報(bào)告披露R6700系列Netgear路由器存在該漏洞。“這個(gè)問(wèn)題是由于在將用戶(hù)提供的數(shù)據(jù)復(fù)制到固定長(zhǎng)度的堆棧緩沖區(qū)之前，沒(méi)有對(duì)數(shù)據(jù)長(zhǎng)度進(jìn)行驗(yàn)證。”

該報(bào)告稱(chēng)，利用該漏洞不需要身份驗(yàn)證，攻擊者可以利用該漏洞獲得root特權(quán)。

ZDI說(shuō)，它在一月份就通知Netgear該漏洞，但是Netgear至今仍未能向受影響的設(shè)備提供補(bǔ)丁。NetGear曾要求將延期至6月底進(jìn)行漏洞公開(kāi)披露，但ZDI拒絕了。

漏洞的發(fā)現(xiàn)者之一Nichols透露，最初是在Netgear R7000路由器系列中發(fā)現(xiàn)了該漏洞，但最終找到了79種不同的Netgear設(shè)備和758個(gè)固件映像，其中包括易受攻擊的Web服務(wù)器副本，受影響的產(chǎn)品固件最早可追溯至2007年(WGT624v4,version 2.0.6)。

通常，SOHO設(shè)備固件中的Web服務(wù)器通常是系統(tǒng)中最易受攻擊的環(huán)節(jié)，因?yàn)樗鼈?ldquo;必須解析來(lái)自網(wǎng)絡(luò)的用戶(hù)輸入，并運(yùn)行復(fù)雜的CGI功能來(lái)處理這些輸入”。

Nichols說(shuō)：

此外，Web服務(wù)器是用C編寫(xiě)的，幾乎沒(méi)有像樣的安全測(cè)試，因此經(jīng)常容易受到哪怕是很小的內(nèi)存損壞錯(cuò)誤的影響。

漏洞利用與緩解

Nichols在他的帖子中解釋說(shuō)，目前可以通過(guò)兩種方式利用零日漏洞。一種方法是通過(guò)一系列步驟利用Web服務(wù)器中HTTP解析器中使用的recv函數(shù)，這些步驟最終導(dǎo)致堆棧緩沖區(qū)溢出。

他解釋說(shuō)，攻擊者還可以使用跨站點(diǎn)請(qǐng)求偽造（CSRF）攻擊來(lái)利用此漏洞，不過(guò)攻擊者需要知道他們針對(duì)的路由器的型號(hào)和版本才能達(dá)成目的。

根據(jù)ZDI報(bào)告，當(dāng)前唯一的緩解措施是只允許受信任的計(jì)算機(jī)與服務(wù)交互。

報(bào)告說(shuō)：

只有與服務(wù)具有合法程序關(guān)系的客戶(hù)端和服務(wù)器才應(yīng)被允許與之通信。這可以通過(guò)多種方式來(lái)完成，最常見(jiàn)的是使用防火墻規(guī)則/白名單。

今年早些時(shí)候NetGear路由器產(chǎn)品曾經(jīng)曝光過(guò)一批漏洞。3月，Netgear修復(fù)了一個(gè)嚴(yán)重的遠(yuǎn)程執(zhí)行代碼錯(cuò)誤，該錯(cuò)誤可使未經(jīng)身份驗(yàn)證的攻擊者控制運(yùn)行固件版本為1.0.2.68之前的無(wú)線AC路由器Nighthawk（R7800）硬件。NetGear還修補(bǔ)了兩個(gè)影響Nighthawk路由器的高嚴(yán)重度漏洞，21個(gè)中度嚴(yán)重漏洞和一個(gè)低級(jí)漏洞。