Verizon路由器命令注入缺陷影响数百万

  • A+
所属分类:未分类

Verizon Fios Quantum Gateway的一个高严重性缺陷,可用于数百万美国家庭,可以允许命令注入。

在Verizon Fios Quantum Gateway中发现了三个漏洞,当它们一起被利用时,可以让攻击者完全控制受害者的网络。 该设备用于我的数百万Verizon家庭客户,并作为家庭的无线路由器和数字网关

周二公布该漏洞的Tenable的研究人员表示,这些漏洞中最糟糕的是网关API后端中经过验证的远程命令注入故障。 该漏洞(CVE-2019-3914)的CVSS严重性评分为8.5,严重程度较高。 当应用程序将不安全的用户提供的数据(例如表单或HTTP标头)传递给系统shell时,可能会发生命令注入攻击。

在利用漏洞后,“攻击者可能会篡改设备的安全设置,更改防火墙规则或删除家长控制,”研究人员说。 “他们可能会嗅到网络流量,进一步损害受害者的在线帐户,窃取银行详细信息并刷密码。”

这些漏洞存在于Verizon Fios Quantum Gateway(G1100)的API后端,后者支持管理Web界面。

Verizon fios量子网关

“对于具有中等技术水平的攻击者来说,这种类型的攻击是可行的,”Tenable的高级研究工程师Chris Lyne告诉Threatpost。 “远程命令注入确实要求攻击者知道管理密码或已捕获并重放先前的登录请求。 如果在路由器上启用了远程管理,则可以通过互联网连接从任何地方进行攻击。“

具体来说,在查看API后端的防火墙设置中的访问控制规则时,Lyne发现可以通过为具有精心设计的主机名的网络对象添加防火墙访问控制规则来触发该漏洞。

攻击者必须通过设备的管理Web应用程序进行身份验证才能执行命令注入:“在大多数情况下,只有具有本地网络访问权限的攻击者才能利用此漏洞,”Lyne说。 “但是,如果启用远程管理,基于互联网的攻击是可行的; 它默认是禁用的。“

一旦他意识到他可以注入一个命令,Lyne就会寻找进一步恶意攻击的方法,例如窃取密码。 当Lyne发现Verizon Fios Quantum Gateway有一秒(CVE-2019-3915,CVSS评分为6.9)和第三(CVE-2019-3916,CVSS评分为4.3)漏洞时。

基本上存在这些缺陷是因为固件不强制使用HTTPS,因此攻击者可能会捕获包含盐渍密码哈希(SHA-512)的登录请求。

虽然Lyne没有详细说明这些漏洞的完整漏洞,但他说CVE-2019-3915的存在是因为在Web管理界面中没有强制执行HTTPS,因此本地网段上的攻击者可以使用数据包嗅探器拦截登录请求。

“可以重播这些请求,让攻击者管理员访问网络界面,”Lyne说。 “从这里开始,攻击者可以利用CVE-2019-3914。”

然后,他们可以利用密码盐泄露漏洞CVE-2019-3916,它允许未经身份验证的攻击者通过访问Web浏览器中的URL来检索密码盐的值。

然后,攻击者可以执行脱机字典攻击以恢复原始密码。 字典攻击是一种强力技术,用于通过尝试数百种可能的可能性(例如字典中的单词)来确定解密密钥来破坏认证机制。

Tenable告诉Threatpost,他们在2018年12月11日向Verizon披露了这些漏洞.Verizon于2019年3月13日发布补丁,并且正在自动更新所有受影响的设备 - 但是,“小部分设备”仍然存在漏洞。

“然而,他们已经建议他们仍在努力推动自动更新到一小部分设备,”Lyne告诉Threatpost。 “敦促用户确认他们的路由器已更新至版本02.02.00.13,如果没有,请联系Verizon以获取更多信息。”

Verizon没有立即回应Threatpost的评论请求。

不要错过 4月24日美国东部时间下午2点的 免费 威胁邮件网络研讨会 “云中的数据安全”。

一个专家小组将加入Threatpost高级编辑Tara Seals,讨论 如何在传统网络边界不再存在时锁定数据。 他们将讨论云服务的采用如何带来新的安全挑战,包括锁定这种新架构的想法和最佳实践; 管理或内部安全是否可行; 和辅助维度,如SD-WAN和IaaS。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: