研究人员揭示了Verizon Fios路由器的多个缺陷

Verizon Fios Quantum Gateway Wi-Fi路由器目前在美国有数百万消费者使用，目前已发现易受三个安全漏洞攻击，分别为CVE-2019-3914、CVE-2019-3915和CVE-2019-3916。

有问题的缺陷已得到验证命令注入（具有root权限），登录重播和密码泄露根据Tenable高级研究工程师Chris Lyne的技术细节，Verizon Fios Quantum Gateway路由器（G1100）存在漏洞，他与黑客新闻分享了这些漏洞。

已验证的命令注入缺陷（CVE-2019-3914）

在查看路由器上的日志文件时，Chris注意到路由器web界面中防火墙设置中的“访问控制”规则在将值作为命令的一部分传递到控制台时没有正确清理“主机名”参数。

因此，事实证明，注入恶意输入作为主机名可以操纵防火墙命令，最终允许攻击者在受影响的设备上执行任意代码。

“注意正在发布的iptables命令。很明显，我一定是在某个时候在这里输入了tenable[关键字]。这让我思考…我想知道我是否可以在其中插入操作系统命令，”研究人员在一篇博文中说。

“很明显，这与防火墙设置中的访问控制规则有关。我调查了web界面，看看是否可以在任何地方找到可用的设置”。

然而，需要注意的是，要利用此漏洞（CVE-2019-3914），攻击者首先需要访问路由器的web界面，这本身就减少了攻击面，除非受害者不依赖默认或弱密码。
此外，受影响的路由器在默认情况下没有启用远程管理，这进一步降低了基于互联网的攻击的威胁。

“有两种攻击场景使攻击者能够远程执行命令。首先，内部威胁将允许攻击者使用数据包嗅探器记录登录序列（盐渍哈希）。通过合法访问（房客）或社会工程（客户支持骗局），攻击者可以从路由器上的标签和公共IP地址获取目标路由器的管理员密码。然后，他们可以打开远程管理，确认它已启用，或者使用相同的社会工程策略让受害者启用它，”克里斯在接受黑客新闻的电子邮件采访时说。

“然后，攻击者可以通过互联网远程利用CVE-2019-3914，获得对路由器底层操作系统的远程根外壳访问。从这里，他们可以控制网络。他们可以创建后门、记录敏感的互联网交易、转向其他设备等”。

如视频演示中所示，由于Verizon路由器也支持Java，因为嵌入了JVM（Java虚拟机），攻击者只需上传一个基于Java的负载，就可以获得一个具有root权限的反向外壳，从而发起进一步的攻击。

要执行Java反向shell，攻击者只需上传并运行一个Java类，正如研究人员所说，“我通过编程HTTP侦听器在响应体中返回一个Base64编码、编译过的Java类来实现这一点。此外，Java代码是为目标JVM（Java SE 1.8）编译的”。

登录重播和密码泄露漏洞

除了细节和视频演示外，研究人员还发布了针对该漏洞的概念验证攻击代码。

第二个漏洞被识别为CVE-2019-3915，它的存在是因为路由器的web管理接口依赖于不安全的HTTP连接。

它允许基于网络的攻击者使用数据包嗅探器拦截登录请求，并重播这些请求，以获得对web界面的管理员访问权限。

第三个漏洞被识别为CVE-2019-3916，未经验证的攻击者只需访问web浏览器中的URL，即可检索密码salt的值。

由于路由器固件不强制使用HTTPS，攻击者有可能捕获包含加密密码哈希（SHA-512）的登录请求，然后可以使用该哈希恢复明文密码。

Tenable负责地向Verizon报告了这些漏洞，Verizon承认了这些问题，并在将自动应用的新固件版本02.02.00.13中解决了这些问题。

“然而，他们[Verizon]后来表示，他们仍在努力向一小部分设备推送自动更新。敦促用户确认他们的路由器已更新到02.02.00.13版，如果没有，请联系Verizon以获取更多信息”。

在撰写本文时，一次简单的Shodan搜索显示，在互联网上可以访问近15000台具有远程管理功能的Verizon Fios Quantum Gateway Wi-Fi路由器。然而，目前尚不清楚其中有多少在运行补丁固件版本。