CERT cảnh báo lỗ hổng bảo mật nghiêm trọng cho phép xâm nhập và dễ dàng kiểm soát Netgear Router

Nếu bạn là một Networking Administrator (người thiết lập và quản trị các thiết bị mạng) có lẽ bạn nên đọc qua bài viết này

CERT cảnh báo lỗ hổng bảo mật nghiêm trọng cho phép xâm nhập và  dễ dàng kiểm soát Netgear Router

Cảnh báo

Các thiết bị R6200, R6250, R6400, R6700, R6900, R7000, R7100LG, R7300, R7900, R8000, D6220, D6400 router và các thiết bị  router khác của hãng Netgear có khả năng bị  xâm nhập và  khai thác dựa trên lỗ hổng phần cứng này

Trước khi đọc bài viết này chúng tôi cảnh báo bạn nên tắt chế độ Remote Management , check firmware update ( cập nhật phần cứng), hoặc tắt  web interface(tuy nhiên đây không phải là cách hay) trên router Netgear thuộc các model(loại) trên, (nếu bạn đang dùng nó cho một hệ thống mạng lớn).

Mô tả

Một ý kiến trên stackexchange

Mô tả: Uncheck turn on Remote Management

Gần đây Netgear đã cập nhật bản vá lỗi  bạn có thể đọc thêm ở link hoặc support

Mô tả tấn công

Phân tích 1 bản CVE do Acew0rm1 khai thác trên Netgear R7000

Bằng cách nào đó , có thể là truy cập từ xa hoặc cố ý khi người sử dụng ngồi trong mạng “attacker” có thể kiểm tra bằng cách truy cập vào “web interface”(giao diện quản trị router) bằng đường dẫn: http://[router_ip_address]/cgi-bin/;uname$IFS-a.  ví dụ: http://10.0.0.1/cgi-bin/;uname$IFS-a. hoặc. Nếu hiển thị một trang trống hoặc lỗi thì có thể là Netgear Router của bạn nằm 1 trong số có thể bị khai thác.Thực chất dòng lệnh ví dụ trên sẽ hiển thị ra 1 cách rõ ràng tên đăng nhập và mật khẩu của root trên router và bạn có thể dễ dàng login dưới quyển root sau đó.

Mô tả cách thức tấn công bởi acew0rm1 xem video bên dưới

Thực tế:

http://[router_ip_address]/cgi-bin/;COMMAND
Attacker 
có thể thực thi một lệnh khác không phải là uname$IFS-a và bạn  có thể thay thế [router_ip_address] bằng tên miền cụ thể www.routerlogin.net hay www.routerlogin.com thì cũng có thể được.

Tuy nhiên gần đây nhiều Router bị kiểm soát để mưu đồ to lớn hơn là thực hiện tấn công DDOS quy mô lớn. Và năm 2016 có lẽ không phải là một năm “lành” ở Mỹ và cả các công ty IT: VCCorp… ở Việt Nam

Trên đây chỉ là một kịch bản tấn công những NetGear Router bị lỗ hổng phần cứng trên.Ngoài ra bạn cũng cần kiểm tra xem router có bị dính lỗi XSS
Chưa là tất cả?
Tấn công bằng việc thực hiện giao thức telnet

  1. Chúng ta có thể sử dụng lệnh http://10.0.0.1/cgi-bin/;telnetd$IFS-p$IFS’55555 ‘. Ở đây giả sử địa chỉ IP của router là 10.0.0.1 . Trên thực tế IP mặc định là 192.168.1.1 hoặc 192.168.0.1.  Lệnh này chủ yếu thực hiện việc mở port 55555 trên router để attacker có thể sử dụng giao thức telnet tới.
    Bật CMD (command line) trên windows hoặc CLI trên linux để thực hiện việc telnet như sau:

    Khi tôi tham gia lớp “lập trình mạng”, người khác khóa cả tính năng “telnet” trên máy tính, lập trình socket và test bằng “niềm tin”. Vì vậy nếu bạn không gõ được lệnh telnet. Hãy tìm cách Control Panel > Programs and Features > Turn Windows Features on or off > Check TELNET Client
  2. Nếu router có lỗ hổng bảo mật trên thì bạn có thể hiện lên thanh Telnet [IP] trên tiêu đề CMD
  3. Tới đây nếu có kiến thức về mạng, bạn có thể thực hiện những lệnh khác sau khi xâm nhập qua giao thức telnet. Hướng dẫn

Attacker có thể làm gì?

  • Thay đổi mật khẩu wifi, root
  • Bật chế độ quản lý từ xa  (Remote Management – documentation).
  • Tắt firewall
  • Thiết lập  VPN location.
  • Thiết lập lại nvram  sau khi reboot lại thiết bị router (nvram set http_passwd=test; nvram commit).
  • và nhiều hơn nữa nếu bạn chuyên sâu về thiết bị mạng

Bài viết không nhằm mục đích hướng dẫn tấn công nên chỉ dừng lại ở đây! Bài viết không có mục đích gì khác ở việc cảnh báo cập nhật bản vá lỗi phần cứng Gần đây Netgear đã cập nhật bản vá lỗi  bạn có thể đọc thêm ở link hoặc support.

Nguồn tham khảo

https://www.exploit-db.com/exploits/40898/

http://www.pcworld.com/article/3149554/security/an-unpatched-vulnerability-exposes-netgear-routers-to-hacking.html