Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE

DuyHung Xuất sắc

Cấp bậc: Xuất sắc

Giới tính : Nam

Bài viết : 1276

Danh vọng : 2288

Uy tín : 32

Tường nhà

Bài viết

Kết bạn

Ngăn cấm

Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE

Phải chăng chỉ nguy hiểm với các router Trung Quốc?:

whitehat.vn - Gần 20 mẫu router được chế tạo bởi TotoLink mắc nhiều lỗi thực thi mã từ xa, các lỗ hổng XSS lẫn CSRF và chứa cả backdoor.

Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE Whiteh10

Lỗi thực thi mã từ xa ảnh hưởng đến 15 sản phẩm khác nhau, trong số đó có những sản phẩm có firmware cập nhật từ năm 2009. Lỗi RCE cho phép tin tặc vượt qua cơ chế xác thực quản trị của router bằng truy vấn HTTP và truy vấn DHCP.

Pierre Kim (피에르), một trong những nhà nghiên cứu phát hiện tình trạng này, cho biết những lỗ hổng này có thể được sử dụng để viết đè firmware của router bằng firmware chứa backdoor của hacker.

Kim và nhà nghiên cứu Alexandre Torres, đã đưa ra những tư vấn cùng một đoạn mã minh chứng cụ thể (proof of concept) cho những lỗ hổng này vào hôm thứ Năm 16/07/2015.

Cũng theo phát hiện của Kim và Torres, gần 50.000 bộ định tuyến bị ảnh hưởng bởi một backdoor tồn tại trên 8 mẫu router TotoLink. Hai nhà nghiên cứu đã kiểm tra sự tồn tại của backdoor này trên các router đang được sử dụng thực tế.

At least 8 TOTOLINK products are affected (firmwares come from totolink.net and from totolink.cn):

A850R-V1 : until last firwmware TOTOLINK-A850R-V1.0.1-B20150707.1612.web
F1-V2 : until last firmware F1-V2.1.1-B20150708.1646.web
F2-V1 : until last firmware F2-V2.1.0-B20150320.1611.web
N150RT-V2 : until last firmware TOTOLINK-N150RT-V2.1.1-B20150708.1548.web
N151RT-V2 : until last firmware TOTOLINK-N151RT-V2.1.1-B20150708.1559.web
N300RH-V2 : until last firmware TOTOLINK-N300RH-V2.0.1-B20150708.1625.web
N300RH-V3 : until last firmware TOTOLINK-N300RH-V3.0.0-B20150331.0858.web
N300RT-V2 : until last firmware TOTOLINK-N300RT-V2.1.1-B20150708.1613.web

Backdoor này có thể trao cho bất kì kẻ tấn công nào trong mạng LAN đặc quyền root đơn giản chỉ bằng cách thực hiện một vài dòng lệnh và sử dụng cài đặt mặc định là những tin tặc dễ dàng lấy được các mật khẩu.

Không chỉ vậy, trên những router do TotoLink sản xuất như iPuppy, iPuppy3, N100RE và N200RE tồn tại các lỗ hổng dễ bị tấn công CRSF và XSS. Nguy cơ tấn công chủ yếu xuất phát từ thực tế cơ chế xác thực ở chế độ tắt mặc định. Điều đó có nghĩa là những kẻ tấn công có thể truy cập cấu hình và thiết lập router từ bên trong mạng LAN. Từ đó, chúng có thể thay đổi cấu hình DNS, nâng cấp firmware, thay đổi cấu hình mạng không dây Wi-fi và còn hơn thế nữa.

TotoLink đã cập nhật firmware cho hơn mười bộ định tuyến khác nhau vào thứ Hai 13/07/2015. Trong khi đó, hai chuyên gia này cho biết công ty này đã âm thầm sửa lỗi HTTP RCE trong các bộ định tuyến mã A2004NS và EX750. Tuy nhiên, tình trạng này trong nhiều bộ định tuyến khác vẫn còn bỏ ngỏ.

Hiện chưa rõ khi nào TotoLink có kế hoạch giải quyết triệt để các vấn đề nêu trên. Cả Kim và Torres cho biết họ không liên lạc với TotoLink một phần bởi công ty này sử dụng một số đoạn mã mà họ gọi là "unethical code (đoạn mã phi đạo đức)".

Theo Threat Post

DuyHung Xuất sắc

Cấp bậc: Xuất sắc

Giới tính : Nam

Bài viết : 1276

Danh vọng : 2288

Uy tín : 32

Tường nhà

Bài viết

Kết bạn

Ngăn cấm

Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE Totoli10

Totolink có đúng là thương hiệu của Hàn Quốc hay không cho đến nay người dùng Việt Nam vẫn chưa có được thông tin chính xác. Nhưng Pierre Kim chắc chắn là nhà nghiên cứu người Hàn Quốc đã phát hiện ra những lỗ hổng bảo mật của Totolink và iLinks cũng như các dòng sản phẩm của ipTIME.

TotoLink.net đã tiếp tục cập nhật firmware cho 18 bộ định tuyến để khắc phục lỗi bảo mật vào Thứ Bảy ngày 25/07/2015. Trong số này có những bộ định tuyến do CTY TNHH CÔNG NGHỆ THÔNG TIN AN PHÁT cung cấp cho thị trường Việt Nam (bao gồm F1 và N151RT). Tuy nhiên, có vẻ AN PHÁT vẫn chưa hay biết gì nên firmware cung cấp cho bộ định tuyến của VNPT và Viettel vẫn còn nguyên ngày 18/06 và 26/06.

- Korea: N151RT-V2.1.1_20150725.zip, F1-V2.1.1_20150725.zip
- VNPT: N151RT V2.1.0-B20150618, F1 V2.1.0-B20151023
- Viettel: N151RT-Viettel V2.0.0-B20150710, F1-Viettel V2.1.0-B20150721 (cập nhật 09/8/2015)

Code:: Jul 24 15:09:41 klogd started: BusyBox v1.13.4 (2015-07-24 16:19:34 CST) Jul 24 15:09:41 Realtek WLAN driver - version 1.6 (2013-02-21)(SVN:目录未版本控制) Jul 24 15:09:41 Adaptivity function - version 7.1 Jul 24 15:09:41 ####################################################### Jul 24 15:09:41 SKB_BUF_SIZE=2408 MAX_SKB_NUM=256 Jul 24 15:09:41 ####################################################### Jul 24 15:09:41 Probing RTL8186 10/100 NIC-kenel stack size order[3]... Jul 24 15:09:41 chip name: 8196C, chip revid: 0 Jul 24 15:09:41 NOT YET Jul 24 15:09:41 eth0 added. vid=9 Member port 0x10... Jul 24 15:09:41 eth1 added. vid=8 Member port 0x1... Jul 24 15:09:41 eth2 added. vid=9 Member port 0x8... Jul 24 15:09:41 eth3 added. vid=9 Member port 0x4... Jul 24 15:09:41 eth4 added. vid=9 Member port 0x2... Jul 24 15:09:41 [peth0] added, mapping to [eth1]... Jul 24 15:09:41 Realtek FastPath:v1.03 Jul 24 15:09:41 ####################################################### Jul 24 15:09:41 NUM_RX_PKTHDR_DESC= 428, eth_skb_free_num= 694 Jul 24 15:09:41 ####################################################### Jul 24 15:09:54 pppd[317]: RP-PPPoE plugin version 3.3 compiled against pppd 2.4.4 Jul 24 15:09:54 pppd[317]: pppd 2.4.4 started by root, uid 0 Jul 24 15:09:54 pppd[317]: PPP session is 44100 Jul 24 15:09:57 pppd[317]: Using interface ppp0 Jul 24 15:09:57 pppd[317]: Connect: ppp0 <--> eth1 Jul 24 15:09:57 pppd[317]: Warning - secret file /etc/ppp/pap-secrets has world and/or group access Jul 24 15:09:59 wlan0-va0: A wireless client is associated - C0:F2:FB:53:79:C5 Jul 24 15:09:59 wlan0-va0: WPA2-AES PSK authentication in progress... Jul 24 15:09:59 wlan0-va0: A wireless client is associated - C0:F2:FB:53:79:C5 Jul 24 15:09:59 wlan0-va0: Open and authenticated Jul 24 15:10:00 pppd[317]: Warning - secret file /etc/ppp/pap-secrets has world and/or group access Jul 24 15:10:00 pppd[317]: Remote message: Authentication OK,Welcome ! Jul 24 15:10:00 pppd[317]: PAP authentication succeeded Jul 24 15:10:00 pppd[317]: peer from calling number 00:22:93:66:87:65 authorized Jul 24 15:10:01 pppd[317]: local IP address 171.233.248.178 Jul 24 15:10:01 pppd[317]: remote IP address 171.233.240.1 Jul 24 15:10:01 pppd[317]: primary DNS address 203.113.188.1 Jul 24 15:10:01 pppd[317]: secondary DNS address 203.113.131.3 Jul 24 15:10:17 wlan0-va0: A wireless client is associated - 9C:04:EB:2F:7C:20 Jul 24 15:10:17 wlan0-va0: WPA2-AES PSK authentication in progress... Jul 24 15:10:17 wlan0-va0: A wireless client is associated - 9C:04:EB:2F:7C:20 Jul 24 15:10:17 wlan0-va0: Open and authenticated

DuyHung Xuất sắc

Cấp bậc: Xuất sắc

Giới tính : Nam

Bài viết : 1276

Danh vọng : 2288

Uy tín : 32

Tường nhà

Bài viết

Kết bạn

Ngăn cấm

Update

- Korea: N151RT-V2.1.3_20150911.zip, F1-V2.2.0-20161029.zip
- VNPT vẫn còn cung cấp cho khách hàng router Totolink nhưng chưa có cập nhật gì mới.

Riêng Viettel đã bỏ Totolink nên An Phát cũng không còn hỗ trợ!

Extracting & Running Binary in TOTOLink - Viettel Internet Modem

Bài viết hôm nay sử dụng Modem TOTOLink được Viettel phân phối khi bạn đăng kí sử dụng Internet của hãng này.

Firmware Hà trung Hiếu sử dụng trong bài được download tại địa chỉ TOTOLINK-F1-V2.0.0-B20150721.1711.web. Link này mình kiếm trên Internet, mình không biết nó có phải Offical của hãng hay không đâu.

Binwalk quen thuộc để xem qua cấu trúc của file firmware này, liệu có signal nào khác biệt hay không. May mắn là firmware này không có bị thay đổi signal gì, nên binwalk dễ dàng nhận biết và cho ta một kết quả rất đẹp.

Code:: % binwalk TOTOLINK-F1-V2.0.0-B20150721.1711.web DECIMAL HEXADECIMAL DESCRIPTION -------------------------------------------------------------------------------- 16 0x10 bzip2 compressed data, block size = 900k 268279 0x417F7 LZMA compressed data, properties: 0x88, dictionary size: 1048576 bytes, uncompressed size: 65535 bytes 278058 0x43E2A LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: 3409580 bytes 1264180 0x134A34 Squashfs filesystem, little endian, version 4.0, compression:lzma, size: 2079485 bytes, 570 inodes, blocksize: 131072 bytes, created: 1902-05-06 07:36:32

Chúng ta thấy, có ba phần chính trong firmware này, từ các địa chỉ:

Từ 268279 (0x417F7) tới 278058 (0x43E2A) được nén lại bằng lzma
Từ 278058 (0x43E2A) tới 1264180 (0x134A34) được nén lại bằng lzma
Từ 1264180 (0x134A34) tới hết là file system định dạng Squashfs quá quen thuộc với các nền tảng nhúng.

Chúng ta cần phải extract từng thành phần này trong firmware này ra để tìm hiểu dần.

Code:: $ dd if=TOTOLINK-F1-V2.0.0-B20150721.1711.web bs=1 of=fs1.lzma skip=268279 count=`python -c 'print 0x43E2A-0x417F7'` $ dd if=TOTOLINK-F1-V2.0.0-B20150721.1711.web bs=1 of=fs2.lzma skip=278058 count=`python -c 'print 0x134A34-0x43E2A'` $ dd if=TOTOLINK-F1-V2.0.0-B20150721.1711.web of=fs3.squashfs bs=1 skip=1264180

Kiểm tra lại một lần nữa với lệnh file

Code:: fs1.lzma: data fs2.lzma: LZMA compressed data, non-streamed, size 3409580 fs3.squashfs: Squashfs filesystem, little endian, version 4.0, 2079485 bytes, 570 inodes, blocksize: 131072 bytes, created: Fri Jun 11 14:04:48 2038 $ ls -lh fs* -rw-r--r-- 1 harry harry 9.6K Jun 9 10:38 fs1.lzma -rw-r--r-- 1 harry harry 964K Jun 9 10:38 fs2.lzma -rw-r--r-- 1 harry harry 2.0M Jun 9 10:35 fs3.squashfs

Với dung lượng lớn hơn hẳn các file dump còn lại, fs3.squashfs khả năng sẽ là nơi lưu trữ chính các tệp tinh cấu hình, chương trình binary của modem này.

Sử dụng lệnh binwalk -e fs* để extract hết những file vừa dump được, thú vị là thế. Binwalk cung cấp đầy đủ những thứ ta cần.

Code:: % tree -d _fs* _fs1.lzma.extracted _fs2.lzma.extracted _fs3.squashfs.extracted └── squashfs-root ├── bin ├── dev │ ├── misc │ ├── pts │ └── voip ├── etc │ ├── boa │ ├── init.d │ ├── samba │ └── tmp ├── home ├── lib ├── mnt ├── proc ├── sys ├── tmp -> /var/tmp ├── usr │ └── share │ └── udhcpc └── var 21 directories

Sau một vài thao tác kiểm tra các file dump, chúng ta biết được fs2.lzma là nơi lưu trữ kernel của firmware, một chú chim cánh cụt, Linux được sử dụng nhúng trong firmware này.

Code:: % binwalk _fs2.lzma.extracted/0 DECIMAL HEXADECIMAL DESCRIPTION -------------------------------------------------------------------------------- 3002400 0x2DD020 Linux kernel version "2.6.30.9 (acer1@localhost.localdomain) (gcc version 4.4.5-1.5.5p2 (GCC) ) #1073 Tue Jul 21 17:18:43 CST 2015" 3134292 0x2FD354 Neighborly text, "NeighborSolicits0" 3134312 0x2FD368 Neighborly text, "NeighborAdvertisements" 3137399 0x2FDF77 HTML document header 3137562 0x2FE01A HTML document footer 3179017 0x308209 Certificate in DER format (x509 v3), header length: 4, sequence length: 2176 3179053 0x30822D Certificate in DER format (x509 v3), header length: 4, sequence length: 11392 3179065 0x308239 Certificate in DER format (x509 v3), header length: 4, sequence length: 14464 3179069 0x30823D Certificate in DER format (x509 v3), header length: 4, sequence length: 14464 3179073 0x308241 Certificate in DER format (x509 v3), header length: 4, sequence length: 16512

và fs3.squashfs là phân vùng lưu các tệp tin binary, cấu hình của hệ điều hành này. Chúng ta cùng ngó vào trong và tìm một vài thông tin thú vị trong kernel này xem sao.

Code:: $ cd _fs3.squashfs.extracted/squashfs-root $ tree -f .|egrep "flash|samba|host|start|app|pass|admin" │ ├── ./bin/chpasswd -> busybox │ ├── ./bin/flash │ ├── ./bin/hostname -> busybox │ ├── ./bin/iapp │ ├── ./bin/startup.sh │ ├── ./bin/wlanapp.sh │ ├── ./etc/dropbear_rsa_host_key │ ├── ./etc/host.conf │ ├── ./etc/hosts -> /var/hosts │ ├── ./etc/hosts.org │ ├── ./etc/passwd -> /var/passwd │ ├── ./etc/passwd.org │ ├── ./etc/samba │ │ ├── ./etc/samba/smb.conf │ │ └── ./etc/samba/smbpasswd

Pass default để đăng nhập modem qua SSH.

Code:: % cat ./etc/passwd.org root:zhxPr1e7Npazg:0:0:root:/:/bin/sh onlime_r:$1$01OyWDBw$Hrxb2t.LtmiiJD49OBsCU/:0:0:root:/:/bin/sh nobody:x:0:0:nobody:/:/dev/null

Code:: $1$01OyWDBw$Hrxb2t.LtmiiJD49OBsCU/12345

Theo nguồn

Dạo một vòng Google với từ khóa là cái hash password kia, Backdoor credentials found in 4 TOTOLINK router models

Dạo qua một vòng Exploit-db coi thử vài bệnh án:
https://www.exploit-db.com/search/?action=search&description=TOTOLINK

Load thử bin/sysconf vào IDA.

Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE Screen15

Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE Screen15

Code:: % cat ./etc/samba/smbpasswd samba:500:E37D9D1B60CE6031F4EE5CAB3C10B45B:246D949F60611CFA928A476B3FF28B25:[U ]:LCT-43D6003C: % cat ./bin/startup.sh

Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE Screen16

Running Binary

Để tìm bug hoặc cần test gì, thì trước hết chúng ta cần phải chạy được chương trình trong môi trường mô phỏng. Chạy thử busybox của firmware xem sao.

Code:: % file bin/busybox bin/busybox: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), dynamically linked (uses shared libs), with unknown capability 0x41000000 = 0xf676e75, with unknown capability 0x10000 = 0x70403, stripped

File binary này được biên dịch để phù hợp với môi trường 32-bit, kiến trúc MIPS. Chúng ta sử dụng qemu để mô phỏng kiến trúc này. Để cài đặt chương trình mô phỏng trên ubuntu chúng ta sử dụng.

Code:: $ sudo apt-get install binutils-mips-linux-gnu binutils-mipsel-linux-gnu binutils-arm-linux-gnueabi

It's important to run qemu on a chrooted environment to avoid mixing your target's libraries with those on your host system. - w00tsec

Đọc thông tin header file binary này.

Code:: $ cd _fs3.squashfs.extracted/squashfs-root $ mips-linux-gnu-readelf -h bin/busybox ELF Header: Magic: 7f 45 4c 46 01 02 01 00 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, big endian Version: 1 (current) OS/ABI: UNIX - System V ABI Version: 0 Type: EXEC (Executable file) Machine: MIPS R3000 Version: 0x1 Entry point address: 0x4026f0 Start of program headers: 52 (bytes into file) Start of section headers: 261196 (bytes into file) Flags: 0x1007, noreorder, pic, cpic, o32, mips1 Size of this header: 52 (bytes) Size of program headers: 32 (bytes) Number of program headers: 7 Size of section headers: 40 (bytes) Number of section headers: 27 Section header string table index: 26

Code:: $ cp `which qemu-mips-static` . $ sudo chroot . ./qemu-mips-static bin/busybox BusyBox v1.13.4 (2015-07-21 17:06:46 CST) multi-call binary Copyright (C) 1998-2008 Erik Andersen, Rob Landley, Denys Vlasenko and others. Licensed under GPLv2. See source distribution for full notice. Usage: busybox [function] [arguments]... or: function [arguments]... BusyBox is a multi-call binary that combines many common Unix utilities into a single executable. Most people will create a link to busybox for each function they wish to use and BusyBox will act like whatever it was invoked as! Currently defined functions: ash, bunzip2, bzcat, cat, chpasswd, cp, cut, date, echo, expr, false, free, getty, grep, halt, head, hostname, ifconfig, init, ip, kill, killall, klogd, ln, login, ls, mkdir, mount, ping, ping6, poweroff, ps, reboot, renice, rm, route, sed, sh, sleep, syslogd, tail, telnetd, true, umount, uptime, wc

Modem này sử dụng busybox phiên bản BusyBox v1.13.4

#1 Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE

#2 Re: Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE

#3 Re: Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE

#4 Re: Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE