D-Link의 뒷마당 배경

"세상을 바꾸고 싶다면, 자기 자신부터 시작하라."보안 연구의 경우에 이것은 "만약 여러분이 세상을 좀 더 안전하게 만들고 싶다면, 여러분의 집에서 현명한 것부터 시작하세요." 그리고 인터넷 계약의 일부로 ISP로부터 받은 라우터는 조사에 있어서 훨씬 더 흥미롭습니다.

취약성의 영향

참고:취약성에 대한 다음 정보가 각 이해 관계자(D-Link, ISP공급자, Mitre)에게 제출되었으며, 취약점 노출 정책에 따라 이 정보를 게시합니다.

다음 권고 사항에서는 D-LinkDAR-620펌웨어의 네가지 취약성 및 하드 코딩된 계정에 대해 설명합니다. 펌웨어는 러시아에서 가장 큰 ISP중 하나가 고객에게 전달하는 다양한 D-Link라우터에서 실행됩니다(이 결론은 라우터가 표준 고객 계약의 일부로 제공된다는 사실과 ISP로그인 문자열에 포함). 이것이 아마도 이 특정한 라우터 모델이 러시아와 CIS국가에서 매우 인기 있는 이유일 것입니다.

취약 라우터의 지리

연구의 목적

최신 버전의 펌웨어에는 인증되지 않은 공격자가 펌웨어에 대한 권한 있는 액세스 권한을 얻고 중요한 데이터(예:텍스트가 없는 구성 파일)를 추출할 수 있는 하드 코딩된 기본 자격 증명이 있습니다. 취약한 웹 인터페이스를 통해 인증되지 않은 공격자는 사용자 환경에서 임의 JavaScript코드를 실행하고 라우터의 OS(운영 체제)에서 임의 명령을 실행할 수 있습니다.

펌웨어 인터페이스의 예(아마 ISP용도로 사용자 정의됨)

이러한 문제는 원래 펌웨어 버전 1.0.37에서 확인되었습니다. 발견된 취약성 중 일부는 다른 버전의 펌웨어에서도 확인되었습니다.

1.3.1

1.3.3

1.4.0

2.0.22

기술적 세부사항

사용자 데이터 검증의 취약성(사이트 간 스크립팅 반영)(CVE-1988-6212)

사용자 입력을 허용하는 입력 필드인 빠른 검색을 통해 펌웨어를 자세히 살펴볼 수 있었습니다. 필드는 XSS공격 벡터를 용이하게 합니다. 이 필드의 특수 문자에 대한 필터링이 누락되고 XML/동적 개체의 잘못된 처리(이 취약성은 v. 1.3버전에서도 발견됨)로 인해 반사된 사이트 간 스크립팅(XSS)공격이 가능합니다.

반사된 XSS시연

취약성 메트릭:

CVSSv3 베이스 점수:6.1

벡터

웹 대시 보드의 하드 코딩된 기본 자격 증명(CVE-1988-6213)

나는 펌웨어를 다운 받아 파일 시스템을 추출했다. 대부분의 Unix기반 펌웨어에는 내장형 시스템을 위한 몇가지 고정된 Unix툴을 제공하는 BusyBox–소프트웨어가 포함되어 있습니다. 고유한 이진 파일, 즉 원래 BusyBox도구 세트에 없고 ISP목적으로 수정되었을 수도 있는 모든 이진 파일을 쉽게 식별할 수 있습니다.

저는 웹 서버 바이너리에서 문자열을 추출했고, 저는 즉시"익명"문자열에 주의를 기울였습니다. 저는 이 줄이 사용되는 기능을 살펴보았습니다.

사용자의 자격 증명을 확인하는 코드에 '하드 코드 자격 증명'이 포함되어 있습니다.

이러한 권한 있는 자격 증명은 관리자가 변경할 수 없습니다. 대시 보드에 대한 권한 있는 액세스를 통해 공격자는 중요한 데이터를 추출할 수 있습니다.

취약성 메트릭:

CVSSv3 기본 점수:6.5

벡터

OS명령 주입(CVE-1988-6211)

OS명령 주입 취약성은 다음 매개 변수에서 사용자의 입력 데이터를 잘못 처리하여 발생할 수 있습니다(이 취약성은 v. 1.3에서 발견됨).

/index.xi?

OS명령 주입 요청 예제

취약성 메트릭:

CVSSv3 베이스 점수:9.1

벡터

텔넷에 대한 하드 코딩된 기본 자격 증명(CVE-2010-620)

위의 취약성을 사용하여 공격자는 텔넷 자격 증명을 추출할 수 있습니다. 펌웨어 v1.0.3에서 자격 증명이 발견되었습니다. 예를 들어 텔넷에 대한 기본 자격 증명을 사용하여 공격자는 라우터("etc"passhdd의 조각)에 대한 관리 액세스를 얻을 수 있습니다.