Arlo基础站多件易变性

UART保护机制不足

恶意操作器实际访问设备后,能通过串行连接连接UART端口,缺省证书登录并执行命令为root用户默认证书为groot:gbase

与物理存取连接串口无关小事,因为它立即下传用户登录提示UART证书(UART用户名和UARTpasswd)加密nvram项,加密密钥通过PASS_ENC环境变量硬编码设备(经初始启动和nvram加密后清除)。

(AV:L/AC:L/Au:N/C:C/I:C/A:C)

网络误配置

基站包含两个联网接口:内摄像网络保留界面和外部局域网连接保留界面(通常是基站从主网操作)。

连接基站同局域网时,当指定基站为网关时(或为路由表添加适当路线时),我们能够点击内部摄像网络所使用接口允许攻击者检测绑定到此接口的额外服务具体地说,默认网站监听程序使用vzdaemon包含api端点允许任意下载或上传设备文件例例简单调用 /passthru/tmp/system-log允许攻击者下载设备初级日志概念证明无法说明问题所能产生的最重要影响,但能很好地说明功能并显示补丁容易测试案例

Vzdaemon运行为root, api端点能力允许攻击者完全接管设备

(AV:A/AC:L/Au:N/C:C/I:C/A:C)

硬件解密私钥

基础站的Fwup升级工具内含硬码RSA专用/公共密钥配对,解密过程现在很容易反转

--BEGINRSA私有密钥--
MIIEpQIBAAKCAQEAxqsUswSN425Toar394cE3hf//+XlBfR5cZwpODHBj+X6UZRe
kJNlZoRH0c72D27blNf8dG2TjxsJOHm+gkoCbBz0a9ORenGNrZGZECJYDLH0MVcm
klyyh/z8cyBrMtqRiPoWzYaPN48snuUHFsF/JOVu3OIavFdu7MAGLRQ32dJeQ8Ou
ljlUK/hALVzzGseYuXHdVsj8TNIFqIvKlfMOB7T9biI8NxIoDNb8v3riHmkgSFbs
<.snipped.>
4r9QexyyduTLUQIn6MWvosMj8eG4Qp8yaLROmkb+OcJVSAX4uCp7xFNv2dT3OW++
yHcjHyECgYEAtQYGaDBpyjIgEJvAVSy0awv3zik3Ks/c5Wz4nHBV/kTB0xo5SzvM
InLrrHPVa/7oa3NMzZ5140pWuwS62rvrF7JX2kRaJ7vi3UVqmwGxGf2s9MoocS98
iSAZXhQ21meqgu5KMiLIpshrEubd3CPtq6to+yicoqXvOQ0v3DaMndU=
--endRSA专用键--

--BEGIN公钥--
MIIDRjCCAjkGByqGSM44BAEwggIsAoIBAQCPJ9cjoVgpXihsTEvSM2Murt7KBLhd
+qE0YReJWuY2JD3KbHOv6iTXSIjFKmlUR31NGhJ1FTvak5c01/mt88OXkdzRhoFy
iM49kWyx0NRntnHk8gcJFKZ29/+c+2kCHR3H2qA9ldhPEgP5xuLttui8Bd2FNKla
<.snipped.>
zZIlO6sNqrjnGBdcjmaU1N/pabNNsxwxFY/NtT5l3xInJEKUwBC/m0dUrOYqQ3pm
ljupxzfME60EEmitRXAPvgPcDyUYGqXpj9+P1vL2ANHT2tjNYk+dJJokgYmLryHs
kfHPzmcDKe0K3A7Ik/JN08TFeZZ1jkVGfwkU2Mygnkg+TU5Nc/S0irwavNf0yPdM
zv82QkIx0KB7c8mEoUTlHAnmP+cJN6yncpVAHEDgK+s+EHRHF6tYkN6V1bDgWbSd
e3jhuLWvHUjC+O9CWvekug/JjdkHJw40bUE=
--end公开键--