近期，Trustwave旗下SpiderLabs的安全研究人员在某些型号的D-Link和Comba WiFi路由器中发现管理员明文密码泄露漏洞。

来自SpiderLabs的研究人员Simon Kenin发现了5个登录凭证泄露漏洞，其中3个漏洞影响到一些Comba Telecom WiFi路由器，另外两个影响到D-Link DSL调制解调器。

攻击者可以直接使用这些登录凭证接管路由器，后续再通过更改路由器设置(例如更改DNS设置来劫持流量，进行中间人攻击)来进行恶意网络活动。

根据安全报告的说法，两个D-Link DSL调制解调器漏洞所涉及的设备通常安装在家庭网络和ISP之间。其他三个漏洞存在于多个Comba Telecom WiFi设备中。所有这些漏洞和登录凭证存储不安全有关，其中包括三个明文凭证泄露，任意未授权用户都可借此登录设备。

在之前的研究中，Kenin已在数十种型号的Netgear路由器中发现了类似的漏洞(CVE-2017-5521)，而这些漏洞可能会影响到超过100万的Netgear用户。

在分析双频D-Link DSL-2875AL无线路由器时，专家发现路径https://[router ip address]/romfile.cfg可能包含设备的明文密码，任何人都可以在不进行任何身份验证的情况下访问URL，直接读取密码。专家证实，目前已知的受影响版本为1.00.01和1.00.05。

而第二个漏洞影响了D-Link DSL-2875AL和DSL-2877AL型号路由器。通过分析登录页面源代码，即https://[router ip address]/index.asp，Kenin注意到以下几行:

var username_v = '<%TCWebApi_get("Wan_PVC","USERNAME","s")%>';
var password_v = '<%TCWebApi_get("Wan_PVC","PASSWORD","s")%>';

这些型号的设备泄露了与ISP（Internet Service Provider）进行身份验证的凭据。

根据报告中的说法，源码中的列出的用户名和密码是用来连接ISP的，攻击者在获得后既可以访问受害者的ISP帐户，又可以据此对路由器密码进行破解。

Kenin在7月初向供应商报告了这个漏洞，但是D-Link直到9月6日才发布了补丁。

而在影响到Comba设备的三个漏洞中第一个影响到了Comba AC2400，攻击者在不需要任何身份验证的情况下直接访问以下URL就可获得设备的哈希处理后的密码。

https://[router ip address]/09/business/upgrade/upcfgAction.php?download=true

#**#admin#**#system#**#61d217fd8a8869f6d26887d298ce9a69#**#0#**#3#**#2#**#2#**#2017-01-01#**#forever

MD5是一种已知的非常容易破解的哈希算法，一旦设备启用SSH/Telnet，攻击者就可以直接接管设备。

剩下两个漏洞影响到Comba AP2600-I WiFi Access Point (版本A02,0202N00PD2)。

其中一个漏洞是管理登录页面源代码泄漏了哈希处理后的用户名和密码。

<input type =“hidden”id =“md5UserName”name =“md5UserName”value =“c3284d0f94606de1fd2af172aba15bf3”>
<input type =“hidden”id =“md5Password”name =“md5Password”value =“cf53f2575640f4b8e4b68947671c8608”>

第二个是存储了明文密码的SQLite数据库文件可被直接下载，文件位置为：

https://[router ip address]/goform/downloadConfigFile

自2月份以来，安全专家一直试图向厂商报告漏洞，但都没有成功。在撰写本文时，这三个漏洞尚未得到修复。

报告最后总结道，这类路由器漏洞往往会产生非常严重的后果，由于它通常负责将外网和内网连接起来，因此相关漏洞可能会影响到网络上的每个用户和系统。攻击者可借此控制所有用户访问的所有网站，产生难以估计的严重后果。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/2949.html
来源：https://securityaffairs.co/wordpress/91105/breaking-news/comba-d-link-routes-flaws.html