中华电信调制解调器远程代码执行漏洞分析与利用

本文详细分析了中华电信调制解调器存在的远程代码执行漏洞,从端口发现到逆向工程分析,最终实现无需认证的远程控制,影响超过25万台设备。

你用它上网,我用它进你内网! 中华电信调制解调器远程代码执行漏洞

For non-native readers, this is a writeup of my DEVCORE Conference 2019 talk. Describe a misconfiguration that exposed a magic service on port 3097 on our country’s largest ISP, and how we find RCE on that to affect more than 250,000 modems :P

大家好,我是 Orange! 这次的文章,是我在 DEVCORE Conference 2019 上所分享的议题,讲述如何从中华电信的一个设定疏失,到串出可以掌控数十万、甚至数百万台的家用调制解调器漏洞!

前言

身为 DEVCORE 的研究团队,我们的工作就是研究最新的攻击趋势、挖掘最新的弱点、找出可以影响整个世界的漏洞,回报给厂商避免这些漏洞流至地下黑市被黑帽黑客甚至国家级黑客组织利用,让这个世界变得更加安全!

把「漏洞研究」当成工作,一直以来是许多信息安全技术狂热份子的梦想,但大部分的人只看到发表漏洞、或站上研讨会时的光鲜亮丽,注意到背后所下的苦工,事实上,「漏洞研究」往往是一个非常朴实无华,且枯燥的过程。

漏洞挖掘并不像 Capture the Flag (CTF),一定存在着漏洞以及一个正确的解法等着你去解出,在题目的限定范围内,只要根据现有的条件、线索去推敲出题者的意图,十之八九可以找出问题点。 虽然还是有那种清新、优质、难到靠北的比赛例如 HITCON CTF 或是 Plaid CTF,不过 「找出漏洞」 与 「如何利用漏洞」在本质上已经是两件不同的事情了!

CTF 很适合有一定程度的人精进自己的能力,但缺点也是如果经常在限制住的小框框内,思路及眼界容易被局限住,真实世界的攻防往往更复杂、维度也更大! 要在一个成熟、已使用多年,且全世界资安人员都在关注的产品上挖掘出新弱点,可想而知绝对不是简单的事! 一场 CTF 竞赛顶多也就 48 小时,但在无法知道目标是否有漏洞的前提下,你能坚持多久?

在我们上一个研究中,发现了三个知名 SSL VPN 厂商中不用认证的远程代码执行漏洞,虽然成果丰硕,但也是花了整个研究组半年的时间(加上后续处理甚至可到一年),甚至在前两个月完全是零产出、找不到漏洞下持续完成的。 所以对于一个好的漏洞研究人员,除了综合能力、见识多寡以及能否深度挖掘外,还需要具备能够独立思考,以及兴趣浓厚到耐得住寂寞等等特质,才有办法在高难度的挑战中杀出一条血路!

漏洞研究往往不是一间赚钱的项目,却是无法不投资的部门,有多少公司能够允许员工半年、甚至一年去做一件不一定有产出的研究? 更何况是将研究成果无条件的回报厂商只是为了让世界更加安全? 这也就是我们 DEVCORE 不论在渗透测试或是红队演练上比别人来的优秀的缘故,除了平日军火库的累积外,当遇到漏洞时,也会想尽办法将这个漏洞的危害最大化,利用黑客思维、透过各种不同组合利用,将一个低风险漏洞利用到极致,这也才符合真实世界黑客对你的攻击方式!

影响范围

故事回到今年初的某天,我们 DEVCORE 的情资中心监控到全台湾有大量的网络地址开着 3097 连接端口,而且有趣的是,这些地址并不是什么服务器的地址,而是普通的家用电脑。 一般来说,家用电脑透过调制解调器连接上互联网,对外绝不会开放任何服务,就算是调制解调器的 SSH 及 HTTP 管理接口,也只有内部网络才能访问到,因此我们怀疑这与 ISP 的配置失误有关! 我们也成功的在这个连接端口上挖掘出一个不用认证的远程代码执行漏洞! 打个比喻,就是黑客已经睡在你家客厅沙发的感觉!

透过这个漏洞我们可以完成:

  • 窃听网络流量,窃取网络身份、PTT 密码,甚至你的信用卡资料
  • 更新劫持、水坑式攻击、内网中继攻击去控制你的电脑甚至个人手机
  • 结合红队演练去绕过各种开发者的白名单政策
  • 更多更多…

而相关的 CVE 漏洞编号为:

  • CVE-2019-13411
  • CVE-2019-13412
  • CVE-2019-15064
  • CVE-2019-15065
  • CVE-2019-15066

相较于以往对家用调制解调器的攻击,这次的影响是更严重的! 以往就算漏洞再严重,只要家用调制解调器对外不开放任何连接端口,攻击者也无法利用,但这次的漏洞包含中华电信的配置失误,导致你家的调制解调器在网络上裸奔,攻击者仅仅 「只要知道你的 IP 便可不需任何条件,直接进入你家内网」,而且,由于没有调制解调器的控制权,所以这个攻击一般用户是无法防御及修补的!

经过全网 IPv4 的扫描,全台湾约有 25 万台的调制解调器存在此问题,「代表至少 25 万个家庭受影响」,不过这个结果只在 「扫描当下有连上网络的调制解调器才被纳入统计」,所以实际受害用户一定大于这个数字!

而透过网络地址的反查,有高达九成的受害用户是中华电信的动态 IP,而剩下的一成则包含固定制 IP 及其他电信公司,至于为何会有其他电信公司呢? 我们的理解是中华电信作为台湾最大电信商,所持有的资源以及硬件设施也是其他电信商远远不及的,因此在一些比较偏僻的地段可能其他电信商到使用者的最后一哩路也还是中华电信的设备! 由于我们不是厂商,无法得知完整受影响的调制解调器型号列表,但笔者也是受害者 ╮(╯_╰)╭,所以可以确定最多人使用的中华电信光世代 GPON 调制解调器 也在受影响范围内!

漏洞挖掘

只是一个配置失误并不能说是什么大问题,所以接下来我们希望能在

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次