Humax WiFi路由器被爆0day漏洞，可获得管理员权限

本文讲的是 Humax WiFi路由器被爆0day漏洞，可获得管理员权限， 最近，在2017年5月，来自Trustwave SpiderLabs的Felipe Cerqueira和Thiago Musa在HUMAX WiFi路由器型号HG-100R *中发现了一个远程漏洞。此漏洞可能会让攻击者破坏WiFi凭据，更危险的是查看路由器控制台管理员密码。该设备是由巴西一家主要互联网提供商，但也被用于世界许多其他地区。

脆弱性

该漏洞首先构造绕特殊的请求绕过管理控制台的身份验证。这是因为路由器在“url/api”中为某些方法返回应答是时无法验证会话令牌。攻击者可以使用此漏洞检索敏感信息，如私有/公共IP地址，SSID名称和密码。

cookie登录基本上是在base64中包含uid和pwd的json数据：

登录名= { “UID”： “管理员”， “PWD”： “4cd08a961f5c”};

在下面的示例中，您可以看到对路由器的请求，而不提供任何身份验证以及包含敏感数据（如SSID名称，IP地址和WiFi密码）的响应。

另一个漏洞允许攻击者绕过身份验证，以访问备份功能以保存（/view/basic/GatewaySettings.bin）和恢复（/view/basic/ConfigUpload.html）配置。两者都忽略cookies“login”和“login_token”的缺失，并将接受下载和上传完整路由器配置的请求。

通过使用“/view/basic/GatewaySettings.bin”和“/view/basic/ConfigUpload.html”提供的备份生成/还原功能，我们可以查看，更改并最终恢复特制配置。作为这种类型的漏洞的一个示例，攻击者可以使用它来更改DNS配置，并将流量重定向到由其控制的服务器，以窃取私人信息，如密码或银行帐户信息。

文件GatewaySettings.bin的仔细分析也显示管理密码存储在那里，无需加密。

基本上，文件由一个头组成，从字节96组成，它以base64编码。

在代码00 00 4c c8（这是前面的数据的长度）之后，所有以下数据都是用base64编码的。解码后bin文件很有意义。

在这个例子中我们可以看到用户'admin'的明文中的密码'AAAAAAAA'。有一个用户'root'使用密码'humax'。此帐户的具体用途尚未确定。

如果您的路由器允许通过Internet进行远程配置管理，攻击者可以轻松获得访问权限，并更改将影响Internet流量的配置。然而，即使在面向Internet的接口上配置管理不可用，攻击者仍然可以利用WiFi路由器在公共场所的漏洞，例如在咖啡馆或机场。

避免风险？

不幸的是，多次尝试向Humax披露这一漏洞，但我们还没有得到该组织的任何回应。因为这个漏洞没有官方补丁。为了防止远程利用，请确保您的WiFi路由器不会暴露在Internet中：禁用“远程配置管理”选项，如下所示：

通过以下URL访问您的HUMAX WiFi路由器：http://192.168.0.1，您应该可以在路由器本身的底部找到凭据。

默认情况下，此配置未启用，但应仔细检查。如果您无法访问路由器，请尝试联系您的Internet服务提供商并要求支持，或者也可能需要新的路由器。

原文发布时间为：2017年6月30日 本文作者：愣娃 本文来自云栖社区合作伙伴嘶吼，了解相关信息可以关注嘶吼网站。 原文链接