Unpatchable漏洞在Phicomm路由器固件

不安全的后门允许攻击者在本地网络上获得一个Root Shell

AV: /交流:L /公关:N / UI: N / S: U / C: H /我:H: H (8.8/8.6)

一个守护进程叫telnetd_startup被发现监听UDP端口21210的Phicomm固件路由器模型K2, K3, K3C, K2 A7和K2G A1。

此服务的使用意图似乎是让客户拥有一定的私人RSA密钥推出telnetd服务和获得一个根壳在设备上没有任何进一步的验证。这个服务是路由器的所有者没有广告,和私钥问题不是提供给业主,或在主人的控制。

分析和测试后十一个不同的固件版本,对于各种Phicomm路由器模型,我已经确定了三种不同的协议由telnetd_startup实现后门的变化。

最老的一代Phicomm我发现的telnetd_startup协议(蓝色阴影,在上面的表中)是相对简单的:服务器等待接收一个加密的消息,它解密和散列与两种不同的盐。然后等待另一个消息,如果那信息匹配的散列,它会产生telnet服务或写一个国旗的闪存驱动器启动触发telnet的产卵。这是K2 22.5.9.163协议我们可以看到,在2017年初发布。建立了硬编码的错误私钥在二进制,击败了非对称加密的目的。这个错误使的创建RoutAckProV1B2.exe,router-hacking工具网上流传多年,它使用偷来的私钥允许任何利害关系方获得root访问这个迭代的后门。当然,正如我们刚才看到的,使用私钥甚至不是必要的开门。设计忽略了什么——这永远不会真正纠正监督——不仅是可能的但容易产生假的密文,公共RSA密钥将“解密”可预测的,伪造的明文。这样做将允许攻击者破坏后门上的锁定机制,并获得授权的条目。

Phicomm回应这种情况在一个完全足够时尚的下一代协议(黄色阴影),我们发现在2017年晚些时候发布的固件版本,包括still-for-sale国际发布的K3C(上图)分析。他们从二进制编辑私钥,但未能改变的公钥。此外,他们的下一个设计似乎共享假设只有通过加密数据的私钥,攻击者可以预测或控制的输出它的公钥解密。而不是解决这些错误,他们只是堆在进一步的复杂性:这是当他们开始产生31-character随机秘密和XOR的public-key-decrypted从客户端接收到的数据以生成临时密码。这使得后门略难攻击,如果我们继续忽视泄露私钥,但最终只是发现一些假的密文解密的明文始于可打印ASCII字符。这给了我们一个1 92年碰撞的机会的第一个字节随机秘密,由于粗心使用sprintf的% s说明符中bytearray串联,将导致一个完全可预测的empheral密码。

在下一次迭代中(淡紫色在上面的表中)是去年我们看,可能最后公布。Phicomm最后妥协的公钥,并采取了额外的预防措施部署不同的公钥每个路由器模型。他们还添加了一个device-identifying握手阶段的协议,这使得后门明显更为隐蔽,没有真正的方式告诉它监听UDP端口21210,除非你把它神奇的令牌ABCDEF1234。它响应这个神奇的令牌device-identifying散列,允许客户端选择相匹配的公钥私钥编译成服务。算法本身,然而,同样的安全漏洞为precedessor,和容易是一个本质上相同的攻击。这是迭代,我们看到在中国市场发布K3C 32.1.46.268,和中国市场K2G A1 22.6.3.20固件图像,最终在某些Wavlink-branded路由器、Wavlink忽略了flash与自己的固件。

完全颠倒了第三代协议如下代理交互图中所示。

Phicomm的实现这个协议是错误的,然而。通过精心设计的交换数据包,攻击者能够引起零字节出现的一个缓冲telnetd_startup使用内部构造临时密码,客户端可以使用peristently或暂时发射telnetd - l /bin/login.sh。冷凝的事情,下面的伪代码显示了temp_password构造(mutato作必要的修改永久的密码,使用“构造+烫”盐):

sprintf (“% s +临时”,结果就是,xor (SECRET_PLAINTEXT, RSA_public_decrypt (HARDCODED_PUBLIC_KEY ENCRYPTED_XOR_MASK)));temp_password = MD5(结果);

因为客户端控件ENCRYPTED_XOR_MASK,他们需要做的就是找到一个缓冲区,硬编码的公钥将“解密”开始于一个可打印字符的缓冲,给它一个1 -在- 94与第一个字符碰撞的机会SECRET_PLAINTEXT。的xor ()操作会产生所需的零字节。当缓冲处理sprintf (),使用% s格式说明符,它将被视为如果是空的,% s指定一个以null结尾的字符串。这意味着结果传递给侍者将除了盐—“+临时”的瞬间启动telnetd和密码“+烫”的密码将会坚持这样做。这一切的结果是攻击者现在有一个非常好的指导的机会telnetd_startup对一个完全可预测的临时密码。由于没有病原反应机制,他们应该能够在几秒内获得root shell在设备上。

下面我说明了这种攻击,在另一个代理协议交互图。

我设计并实现了一个工具来利用这一漏洞,并获得一个根壳设备上受到这种脆弱性的影响。这是一个视频开发的行动:

访问控制不当允许未经身份验证的远程攻击者获取敏感信息和凭证

AV: N /交流:H /公关:UI: N / N / S: U / C: H /我:L /答:H (7.7/7.5)

Phicomm固件的管理web服务器暴露的*。asp端点,可以用于获取和设置路由器配置参数不需要任何身份验证。这是启用远程管理时尤其危险,因为它有效地资助行政控制的几个路由器设置任何路人在互联网上,并透露一些高度敏感的信息。

例如,如果攻击者是好奇的设备被连接到一个什么暴露路由器的局域网,他们需要做的就是发出请求http://10.3.3.12:8181 LocalClientList.asp ? action =(假设10.3.3.12路由器的IP地址,8181是它的远程管理端口):

但假设他们想连接到局域网。如果路由器的附近,他们可能会尝试连接到一个无线网络。但他们将如何获取密码?事实证明,他们需要做的就是问,路由器将乐意提供:

如果路由器的所有者已经Phicomm在其建议他们使用相同的密码为2.4 ghz无线网络和管理界面,那么攻击者现在有远程管理访问路由器。

还可以用于这些端点禁止从路由器的局域网主机不需要身份验证,并重命名LAN-side主机。后者技术可以用来推动了HTML代码Phicomm路由器的管理面板。

攻击者也能够崩溃管理界面通过畸形数据LocalMACConfig.asp ? action =端点,虽然它会短暂的延迟后重新启动。

不受保护的UART控制台K3C路由器上,用硬编码的凭证

AV: P /交流:L /公关:N / UI: N / S: U / C: H /我:H: H (6.8/6.4)

K3C路由器受到硬件漏洞。他们让一个不受保护的UART端口通过的物理访问攻击者可以访问U-Boot BIOS外壳和一个操作系统登录提示。

与用户名根和密码管理——密码不能改变官方通过路由器的管理界面,攻击者可以获得一个根壳在设备上。

这些路由器将永远无法修补

Phicomm公司2018年关闭了大门,而被警方调查欺诈,和2月4日,2021年,首席执行官顾办事,被捕了。12月8日,他被剥夺了政治权利终身,并被判处至少10 - 15年的监禁。更多细节可以在同期发表的一篇博客文章中找到。

一个警告关于Wavlink路由器上Phicomm固件的存在

我第一次遇到Phicomm路由器的固件,事实上,当我启动Wavlink-branded产品。路由器Wavlink AC 1200家。就好像Win-star公司收买Phicomm剩余库存,rebanded与他们自己的设备,和大多数闪过——但并不是所有的这些设备的固件。在一些情况下,我们没有办法知道多少——Wavlink-branded设备到达市场仍然脆弱Phicomm固件。

进一步的阅读

在这些问题上的更多细节,请参阅“后门撬锁工具:扭转Phicomm后门协议”。