关于多款路由器设备存在预置后门漏洞的情况通报

2014-01-29 14:10:53

安全公告编号:CNTA-2014-0005

近期,CNCERT主办的国家信息安全漏洞共享平台(CNVD)对Cisco、Linksys、Netgear、Tenda、D-link等主流网络设备生产厂商的多款路由器产品进行分析,确认其存在预置后门漏洞。上述产品均为应用较广的企业级或个人用户产品,利用上述漏洞可取得路由器产品的远程控制权,进而发起DNS劫持、窃取信息等攻击。具体情况通报如下:

一、  漏洞情况分析

(一)多款路由器产品存在32764端口后门漏洞

Cisco、Netgear、Linksys多款路由器产品存在TCP32764端口预设后门漏洞(收录编号:CNVD-2014-00513 、CNVD-2014-00243 、CNVD-2014-00264)。利用漏洞,未授权的攻击者可以通过该端口访问设备,以管理员权限在受影响设备上执行设置内置操作系统指令,进而取得设备的控制权。

(二)Tenda路由器远程命令执行后门漏洞

Tenda的 W330R、W302R无线路由器固件最新版本及MedialinkMWN-WAPR150N中存在预设后门(收录编号:CNVD-2013-13948)。该漏洞通过一个UDP数据包即可利用,数据包以字符串 “w302r_mfg”为开头,精心构造后可触发漏洞执行各类命令,甚至以root权限执行任何命令,进而取得设备控制权。

(三)NetGear多款路由器存在后门漏洞

NetGear多款路由器存在后门漏洞(收录编号:CNVD-2013-15013)。该后门为厂商预设的超级用户和口令,攻击者可以利用后门,在相邻网络内可获取到路由器的root权限,进而植入木马完全控制用户的路由器。

(四)多款D-LINK路由器产品存在后门漏洞

D-LINK部分路由器使用的固件版本中存在一个人为设置的后门漏洞(收录编号:CNVD-2013-13777)。攻击者通过修改User-Agent值为“xmlset_roodkcableoj28840ybtide”(没有引号)即可绕过路由器Web认证机制取得后台管理权限。取得后台管理权限后攻击者可以通过升级固件的方式植入后门,取得路由器的完全控制权。

二、漏洞影响评估

CNVD对上述漏洞的评级均为“高危”。主要攻击途径为相邻网络攻击(即与路由器产品在同一局域网内),其中部分产品由于未做好内部ACL控制,可以从互联网侧上发起攻击。目前确认受影响的产品列表参见附件,国内外安全机构和研究者还在对第一节(一)中所述漏洞进行相关网络设备产品测试,预计受漏洞影响的产品范围还将进一步扩大。

三、漏洞处置建议

目前,Cisco已经提供了部分产品的解决方案,其余设备厂商尚未针对所述漏洞提供解决方案。由于网络设备产品升级较一般的应用软件产品有更大难度,因此相关用户需进一步加强安全威胁防范:

(一)密切关注网络设备32764、23等特定端口的异常连接,同时做好上述端口的访问权限控制,禁止无关外部IP和用户访问上述端口;

(二)对网络访问过程可能出现的网站异常跳转、钓鱼网站推送等现象提高警惕,如出现上述情况,需重点排查是否存在因设备被控制篡改导致的DNS劫持情况。

CNCERT/CNVD将继续跟踪事件后续情况,做好国内相关用户受影响情况的监测和预警工作。如需技术支援,请联系CNCERT/CNVD。电子邮箱:vreport@cert.org.cn,联系电话:010-82990286。

相关安全公告链接参考如下:

http://www.cnvd.org.cn/flaw/show/CNVD-2014-00264

http://www.cnvd.org.cn/flaw/show/CNVD-2014-00243

http://www.cnvd.org.cn/flaw/show/CNVD-2014-00513

http://www.cnvd.org.cn/flaw/show/CNVD-2013-13948

http://www.cnvd.org.cn/flaw/show/CNVD-2013-15013

http://www.cnvd.org.cn/flaw/show/CNVD-2013-13777

http://www.cnvd.org.cn/webinfo/show/3311

注:个人研究者黄彩虹提供了CNVD-2013-15013漏洞信息;工业和信息化部电信研究院对Cisco和Linksys设备后门漏洞(CNVD-2014-00243)部分产品实例进行了验证;CNVD于10月底对CNVD-2013-13777漏洞进行了详细测试并发布了预警通报。


附件:受后门漏洞影响的产品列表


Linksys产品:Linksys WAG120N、Linksys RVS4000FirmwareV1.3.3.5、Linksys WAG120N、Linksys WAG160nv1andv2、Linksys WAG200G、Linksys WAG320N、Linksys WAG54G2、Linksys WAG54GS、Linksys WRT350Nv2fw2.00.19、LinksysWRT300Nfw2.00.17、Linksys E2500、Linksys E3000fwv1.0.04、LinksysE3200FirmwareVersion:1.0.04(Build1)、LinksysE4200FirmwareVersion:2.0.26、Linksys WAG354GV.2EU、Linksys WRT100fwv1.0.00、LinksysWRT110fwv1.0.07、Linksys WRT120Nfwv1.0.07、Linksys WRT160Nv2、Linksys WRT320N、Linksys WRT54GL(v1.1)、Linksys WRT54GSv1.52.8build001、Linksys WRT600Nrunning1.01.36build3、Linksys WRT610NV1、Linksys WAG160N、Linksys WAG200G、Linksys WAG320N、Linksys WAG54G2、Linksys WAP4410N;


Cisco产品:Cisco WAP4410NWireless-NAccessPoint、Cisco WRVS4400NWireless-NGigabitSecurityRouter、Cisco RVS40004-portGigabitSecurityRouter、Cisco E2000fwv1.0.02、Cisco LinksysE4200V1fwv1.0.05、Cisco LinksysX2000、Cisco EPC3925、Cisco RVS4000、Cisco WAP4410N、Cisco WRVS4400N、Cisco WRVS4400N;


NetGear产品: Netgear CG3100、Netgear CG3700EMR、Netgear DG834Gv5、Netgear DGN2200Bv3(V1.1.00.23_1.00.23)、Netgear DGN3500、Netgear DGND3700、Netgear DGND4000(V1.1.00.14_1.00.14)、Netgear ProSafeFVS318Gfwv3.1.1-14、NetgearR4500firmwareV1.0.0.4_1.0.3、Netgear R6300、Netgear R7000、Netgear RP614v[4,2]V1.0.8_02.02、Netgear VMDG480(aka.VirginMediaSuperHub)swv2.38.01、Netgear VMDG485(aka.VirginMediaSuperHub2)swv1.01.26、Netgear WGR614v3、Netgear WGR614v7、Netgear WGR614v9、Netgear WN2500RP、Netgear WNDR3700、Netgear WNDR4000、Netgear WNDR4500、Netgear WNR2000v3、Netgear WNR3500LfirmwareV1.2.2.30_34.0.37、Netgear WNR3500Lv2、Netgear DG834BV5.01.14、Netgear DGN20001.1.1,1.1.11.0,1.3.10.0,1.3.11.0,1.3.12.0、Netgear WPNT834、Netgear DG834[∅,GB,N,PN,GT]version<5、Netgear DGN1000、Netgear DGN1000[B]N150、Netgear DGN2000B、Netgear DGND3300、Netgear DGND3300Bv2fwv2.1.00.53_1.00.53GR、Netgear DM111Pv2、Netgear JNR3210、Netgear DG934、Netgear WG602,WGR614、Netgear DGN2000、Netgear WNDR3700router、Netgear WNDR4500、WNDR4300、Netgear R6300、Netgear WNDR3800、Netgear WNDR3400、Netgear WNR3500L、Netgear WNDR3300;


Tenda产品:W330R、W302R、MedialinkMWN-WAPR150N;


D-link路由器固件版本涉及DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TM-G5240、TM-G5240、BRL-04R、BRL-04UR、BRL-04CW、BRL-04FWU等。