小型企業(yè)路由器漏洞揭秘

引言：近年來，路由器以成了上網必備的工具，只要有網絡那就少不了有一個路由器，就在人們享受路由器便捷的時候，誰又曾想過這個設備的安全性?如今各種廠商路由器都或多或少爆出過一些漏洞，給家庭網絡帶來了不小的影響，如今家用路由器安全已經不容忽視了。

我國有小微企業(yè)2000多萬家，除了一些財力雄厚的企業(yè)有較好的上網環(huán)境外，還有眾多小微企業(yè)需自己建立外接互聯(lián)網。路由器已經成為了小企業(yè)上網必備的工具，只要辦公室有網絡那就少不了有一個路由器（如圖1），就在人們享受路由器便捷的時候，誰又曾想過這個設備的安全性?如今各種廠商路由器都或多或少爆出過一些漏洞，給網絡安全性帶來了不小的影響，如今路由器安全已經不容忽視了。如果單位路由器被黑客控制，那么用戶的網銀、電子郵箱等各類賬號密碼都面臨失竊風險（如圖2）。

路由器的漏洞主要分為密碼破解漏洞、Web漏洞、后門漏洞和溢出漏洞。路由器密碼破解漏洞:WiFi的加密方式一般有三種WEP、WPA 和 WPA2。WEP加密方式加密強度相對較低，現(xiàn)在幾乎被淘汰。WPA和WPA2存在暴力破解的漏洞。

圖1 路由器連接設置

圖2 路由器漏洞

路由器Web漏洞

主要是CSRF、命令執(zhí)行、XSS（跨站）等。路由器后門漏洞:這個后門是指開發(fā)軟件的程序員為了以后方便調試和維護而留下的一個具有很高權限的后門。這個后門一般不公開，如果被網絡安全研究者發(fā)現(xiàn)并公開，這就意味著攻擊者可以繞過你設置的一些安全認證直接控制你的路由器。

路由器溢出漏洞

攻擊者可以利用這個漏洞來執(zhí)行非授權指令，進而獲得系統(tǒng)特權，從而執(zhí)行各種非法的操作。現(xiàn)在常用的路由器有TP-Link、Tenda、Netcore（磊 科）、D-Link和華為等一些廠家的。我主要介紹一下上面五個廠商路由器的漏洞。

TP-Link的漏洞

這個漏洞是前一陣在WooYun看到的，標題是《全國首發(fā)TP-Link wr-842n等多款無線路由器（新界面2015）存在多個致命漏洞》利用這個漏洞可以任意下載配置文件，繞過設備認證，隨意修改系統(tǒng)配置。下面介紹一下具體的利用和防御方法。

漏洞測試方法:首先在瀏覽輸入http://192.168.1.1/config.bin可以直接下載路由器的配置文件，然后使用openssl enc -d-des-ecb -nopad -K 478DA50BF9E3D2CF -in config.bin命令提取配置信息，然后在提取出來的結果中找到類似authKey 0rZily4W9TefbwK的信息，這段就是加密過的用戶后臺登錄密碼。這段加密字串“0rZily4W9TefbwK”通過用戶瀏覽器運算生成，且存在算法漏洞，加密字串雖不可逆，但存在大量碰撞，即任意字符可生成相同的加密字串。

漏洞修復方法：關于這個漏洞TP-Link官網已經發(fā)布了修復補丁，下載地址為http://service.tp-link.com.cn/detail_download_2043.html。

TP-Link CSRF漏洞

用戶若仍使用默認出廠密碼，在訪問了包含惡意腳本的網頁時，路由器的DNS即遭篡改(“弱密碼”漏洞)，從而劫持連接此路由器的所有設備。其中受到影響型號包 括：TL-WR740N、TLWR840N、TL-WR841NV8等型號2013年前的固件版本。如圖3的TP-Link路由器。

漏洞修復方法：目前廠商已經發(fā)布了升級補丁以修復這個安全問題，請到TPLink官網下載。

圖3 TP-Link路由器

圖4 Tenda路由器

Tenda的cookie hijacking漏洞

利用cookie hijacking可以免密碼登錄路由器。

漏洞測試方法:通過手工建立Cookie值然后提交能繞過登錄密碼驗證界面。也可以利用網上現(xiàn)成的測試工具來測試自己的路由器是不是有這個漏洞。

漏洞修復方法：這個漏洞也是在WooYun看到的，編號為WooYun-2013-17767的漏洞。廠商對漏洞的回復“CNVD確認漏洞情況（在一些家用版本上未復現(xiàn)），還請作者告知測試用版本編號，轉由CNVD協(xié)調生產廠商處置”。實際上廠商也沒有給出很好的修復方案。可以嘗試更新一下路由器的固件。圖4為Tenda路由器。

Tenda無線路由器遠程命令執(zhí)行后門漏洞

Tenda的 W330R、W302R無線路由器固件最新版本中存在后門，該漏洞通過一個UDP數(shù)據(jù)包即可利用，如果設備收到以某些字符串為開頭的數(shù)據(jù)包，即可觸發(fā)此漏洞執(zhí)行各類命令，甚至以root權限執(zhí)行任何命令。

漏洞測試方法：echo-ne "w302r_mfgx00x/bin/ls" | nc -u -q 5 192.168.0.17329。

漏洞修復方法：目前廠商還沒有提供補丁或者升級程序。

Netcore（磊 科）系 列路由器中存在一個后門，進入后門的口令被“硬加密”(hardcoded)寫入到設備的固件中，而且所有的口令似乎都一樣。攻擊者可以輕易的利用這個口令登錄路由器，而且用戶無法更改或禁用這個后門。

該后門漏洞形成的原因為:磊科路由器內置了一個叫做“IGDMPTD”的程序，該程序會隨路由器啟動，并在公網上開放UDP協(xié)議的53413端口，使攻擊者可以通過公網在磊科路由器上執(zhí)行任意系統(tǒng)命令，進而控制路由器，因此該漏洞危險等級極高。

漏洞測試方法：首先執(zhí)行netcore_POC.py，用這個登錄路由器然后就可以執(zhí)行命令了。

漏洞修復方法：目前廠商還沒有提供補丁或者升級程序。

圖5 D-Link路由器

D-Link路由器溢出漏洞

漏洞主要還影響D-Link DIR-645 、D-Link DIR-865和D-Link DIR-845。該漏洞是CGI腳本authentiction.cgi在讀取POST參數(shù)過程中名為“password”參數(shù)的值時可以造成緩沖區(qū)溢出，并能遠程執(zhí)行命令。D-Link DIR-645，其固件版本1.03B08同時還存在多個緩沖區(qū)溢出和跨站腳本漏洞，包 括 ："post_login.xml"、"hedwig.cgi"上的緩沖區(qū)溢 出，"bind.php"、"info.php"、"bsc_sms_send.php"上的跨站腳本、遠程攻擊者可利用這些漏洞在受影響設備中執(zhí)行任意代碼，執(zhí)行未授權操作。如圖5為D-Link路由器。

漏洞測試工具:首先執(zhí)行DIR645-f - V1.03.py，會在路由器的2323端口開放Telnet服務然后使用Telnet登錄路由器。

漏洞修復方法: 目前廠商已經發(fā)布了升級補丁以修復這個安全問題，請訪問廠商主頁http://www.dlink.com。

華碩路由器CSRF漏洞

用戶若仍使用默認出廠密碼，在訪問了包含惡意腳本的網頁時，路由器的DNS即遭篡改(“弱密碼”漏洞)，從而劫持連接此路由器的所有設備。受影響的路由器型號有：RT-AC66R、RTAC66U、RT -AC68U、RT-N66R、RT-N66U、RTAC56U、RT-N56R、RTN56U、RT-N14U、RTN16和RT-N16R。

漏洞修復方法: 廠商已提供修復補丁，有需要的可以到官網升級最新的固件。

國家互聯(lián)網應急中心(CNCERT)發(fā)布的“2013年我國互聯(lián)網網絡安全態(tài)勢綜述”顯示，D-Link、思科、Netgear、Tenda等多家廠商的路由器產品存在后門。黑客可由此直接控制路由器，進一步發(fā)起DNS(域名系統(tǒng))劫持、竊取信息、網絡釣魚等攻擊，直接威脅用戶網上交易和數(shù)據(jù)存儲安全。這意味著相關路由器成為隨時可被引爆的“地雷”。下面就介紹一下這些廠商的路由器后門漏洞。

D-Link路由器后門漏洞

D-Link部 分 路由器使用的固件版本中存在一個人為設置的后門漏洞。攻擊者通過修改User-Agent值 為“xmlset_roodkcableoj28840ybtide”即可繞過路由器Web認證機制取得后臺管理權限。取得后臺管理權限后攻擊者可以通過升級固件的方式植入后門，取得路由器的完全控制權。漏洞影響路由器型號：DIR-100、DIR-120、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TMG5240、BRL-04R、BRL-04UR、BRL-04CW 以 及BRL-04FWU。

漏洞修復方法:廠商已提供修復補丁，可以到官網升級最新的固件。

Cisco路由器遠程特權提升漏洞

允許未驗證遠程攻擊者獲得對設備的root級的訪問。漏洞影響路由器 型 號:Cisco RVS4000、Cisco WRVS4400N、Cisco WRVS4400N和Cisco WAP4410N等多款路由器設備。漏洞修復方法:現(xiàn)在廠商可以提供修復補丁，在官網上可以升級最新的固件。如圖6是Cisco的某種型號路由器。

圖6 Cisco路由器

NetGear后門漏洞和Net－GearDGN2000Telnet后門未授權訪問漏洞該后門是廠商設置的超級用戶和口令，攻擊者可以用來在相鄰網絡內獲取路由器的root權限，進而植入木馬完全控制路由器。NetGearDGN2000產品存在的安全漏洞被利用后可導致執(zhí)行任意系統(tǒng)命令。受影響的路由器型號包括 有 ：WNDR3700、WN －DR4500、WNDR4300、R6300 v1、R6300v2、WNDR3800、WNDR3400v2、WNR3500L、WNR3500L v2、WNDR3300和DGN2000。

漏洞修復方法:NetGear尚未對以上漏洞和后門提供解決方案，因此建議更換路由器。

總結

有些漏洞廠商目前還沒有提供補丁，我個人認為好點的辦法就是限制非法人員訪問路由器，一般訪問路由器是通過無線連接之后然后訪問路由器后臺，還有就是通過WAN訪問。建議關閉路由器WAN訪問，無線密碼設置復雜一些，禁用WPS功能，使用WPA2加密，還有就是升級到最新的路由器固件。

以上漏洞案例是對網上一些路由器案例的總結，為了方便讀者查找和測試自己的路由器是不是存在漏洞，以便修復。尤其對于小型企業(yè)而言，由于不像大型企業(yè)網絡管理那樣完備，路由器的漏洞更是直接關乎個人及企業(yè)利益。因此，小型企業(yè)在使用路由器的同時必須加強平時對網絡設備的保護的思想意識及技術管理，在保障個人及企業(yè)隱私和利益不受損失。