首頁 > 安全研究 > 安全通報 > 安全通告

Verizon Fios Quantum Gateway路由器多個漏洞安全通告

發布時間 2019-04-10

漏洞編號和級別



CVE編號:CVE-2019-3914,危險級別:高危,CVSS分值:廠商自評:8.5,官方未評定
CVE編號:CVE-2019-3915,危險級別:高危,CVSS分值:廠商自評:8.5,官方未評定
CVE編號:CVE-2019-3916,危險級別:高危,CVSS分值:廠商自評:8.5,官方未評定


影響版本



Fios Quantum Gateway(G1100)路由器<02.02.00.13


漏洞概述



最新研究發現Verizon Fios Quantum Gateway路由器存在多個漏洞。如果被利用,這些漏洞將使攻擊者完全控制路由器并查看與其相關的所有內容。


路由器側面有一個貼紙。為每個客戶提供不同的無線網絡名稱,無線密碼和管理員密碼。這些漏洞主要圍繞管理員密碼,而不是您用于連接Wi-Fi的密碼。管理員密碼用于Verizon客戶登錄路由器以執行定義網絡的各種任務。漏洞包括:


CVE-2019-3914 - 經過身份驗證的遠程命令注入


可以通過為具有精心設計的主機名的網絡對象添加防火墻訪問控制規則來觸發此漏洞。必須對設備的管理Web應用程序進行身份驗證才能執行命令注入。在大多數情況下,只有具有本地網絡訪問權限的攻擊者才能利用此漏洞。但是,如果啟用遠程管理,則基于Internet的攻擊是可行的,它默認是禁用的。


例如,如果添加主機名為“`whoami`”的網絡對象(注意反引號),并且此對象用于防火墻訪問控制規則,則將執行‘whoami’命令。


下圖是/ chroot / mnt / log / user中的日志條目。請注意,`whoami`已合并到iptables命令中。



HTTP請求如下圖,請注意,不會返回該命令的結果,可以獲得root shell。



CVE-2019-3915 - 登錄重播


由于在Web管理界面中未強制執行HTTPS,因此本地網段上的攻擊者可以使用數據包嗅探器攔截登錄請求??梢灾夭ミ@些請求以使攻擊者管理員訪問Web界面。例如,登錄請求如下圖所示:



CVE-2019-3916 - 密碼Salt泄露


未經身份驗證的攻擊者只需訪問Web瀏覽器中的URL即可檢索密碼salt的值。鑒于固件不強制使用HTTPS,攻擊者可以捕獲(嗅探)登錄請求。登錄請求包含salted密碼哈希(SHA-512),因此攻擊者可以執行脫機字典攻擊以恢復原始密碼。下圖顯示了一個HTTP請求/響應對,請注意,返回'passwordSalt'。



 

漏洞驗證



目前已有PoC:https://github.com/tenable/poc/blob/master/verizon/verizon_g1100_cmd_injection.py,它可以使用明文密碼或作為命令行參數添加的哈希值。選擇任何方法都會導致成功登錄路由器的Web界面。利用成功如下圖:






修復建議



Verizon發布了固件版本02.02.00.13來修復這些漏洞。



參考鏈接



https://www.tenable.com/security/research/tra-2019-17
https://www.tenable.com/blog/verizon-fios-quantum-gateway-routers-patched-for-multiple-vulnerabilities
https://www.bleepingcomputer.com/news/security/verizon-fixes-bugs-allowing-full-control-of-fios-quantum-router/

上一篇 下一篇