Cisco RV320、RV325未授权远程代码执行漏洞分析及建议

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Cisco RV320、RV325未授权远程代码执行漏洞分析及建议

2019-05-16 09:00:36

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

一、概述

近日，安天微电子与嵌入式安全研发部（安天微嵌）对网络安全公司RedTeam Pentesting GmbH[1]披露的编号为CVE-2019-1652和CVE-2019-1653的两个漏洞进行了详细分析和验证。该组漏洞主要对Cisco RV320和RV325[2]两款双千兆WAN VPN路由器造成影响，两个漏洞结合利用可以达到允许未经身份授权的远程攻击者执行任意命令的目的。对此，安天微嵌分析小组验证了该漏洞的原理及POC，对该漏洞的影响范围进行了确认，并给出了相应的防护建议。

二、漏洞影响

Cisco RV320、RV325两款路由器支持通过局域网和远程连接访问WEB管理页面，开启服务后可通过互联网访问WEB管理页面。由于路由器的WEB管理页面能够完成路由器各项功能的可视化管理和配置，对设备具有较高的控制权，所以其与路由器设备本身的安全紧密相关。

经分析验证，此次被披露的两个漏洞分别是由于Cisco RV320、RV325路由器的WEB管理页面访问控制验证规则不完善 (CVE-2019-1653)和用户访问WEB管理页面时提供的输入凭证不当(CVE-2019-1652)造成的。

根据网络安全公司Bad packet[3]公布的资料显示，其在全球范围内发现了9657台受CVE-2019-1652、CVE-2019-1653漏洞影响的Cisco路由器（6247台RV320和3410台RV325），其中大部分位于美国，中国大陆存在47台受到该漏洞影响的设备。同时他们的蜜罐系统捕获到了大量针对RV320和RV325路由器的扫描活动，这表明攻击者正在积极利用漏洞来劫持受影响的Cisco路由器。受漏洞影响的Cisco路由器全球分布情况如图2-1和表2-1所示。

201905062.1.png

图 2‑1受影响设备全球分布图

表 2‑1受影响设备全球分布表

国家和地区	美国	加拿大	巴西	泰国	波兰	法国	瑞典
受影响设备数量	4389	797	627	304	233	224	211
国家和地区	中国香港	罗马尼亚	哥伦比亚	阿根廷	玻利维亚	英国	意大利
受影响设备数量	165	158	141	125	123	117	113
国家和地区	澳大利亚	墨西哥	荷兰	捷克	乌克兰	比利时	奥地利
受影响设备数量	109	104	103	103	102	93	92
国家和地区	德国	印度	西班牙	丹麦	保加利亚	菲律宾	韩国
受影响设备数量	87	85	82	74	67	60	57
国家和地区	挪威	斯洛伐克	瑞士	中国大陆	喀麦隆	巴拿马	匈牙利
受影响设备数量	52	52	50	47	34	33	33

三、漏洞原理

安天微嵌分析小组使用Cisco RV320 Gigabit Dual WAN VPN Router和DELL OPTIPLEX PC机作为验证环境。设备连接示意图如图3-1所示。将Cisco RV320路由器任意LAN口与DELL PC机网口直接相连，同时将Cisco RV320路由器和DELL PC机设置为同一个网段。

201905063.1.jpg

图 3‑1设备连接示意图

该漏洞POC文件将测试未经身份授权检索敏感信息漏洞 (CVE-2019-1653)和命令注入执行漏洞(CVE-2019-1652)代码整合在一起完成未经授权的远程代码执行操作。通过漏洞CVE-2019-1653完成路由器用户名、口令的捕获，随后结合CVE-2019-1652完成在Cisco RV320、RV325小型商用路由器上执行任意命令的目的。

安天微嵌分析小组在分析POC文件代码过程中发现，POC的执行过程可以分为两个部分，其中未经授权检索敏感信息漏洞相关的函数代码片段如图3-2；命令注入执行漏洞相关的函数代码片段如图3-3所示。

201905063.2.png

图 3‑2未授权检索敏感信息漏洞片段

201905063.3.png

图 3‑3命令注入执行漏洞函数代码片段

通过对图3-2、图3-3代码片段的分析，可以确定未经授权的远程代码执行漏洞的利用方式。该POC原理是未经身份授权的远程攻击者可以利用漏洞(CVE-2019-1653)从受影响的设备处获取敏感信息，该漏洞(CVE-2019-1653)是由于URL访问控制验证规则不完善造成的。远程攻击者可以利用这个漏洞，通过HTTP或HTTPS连接到受影响的设备，并请求特定的URL，让远程攻击者下载路由器配置或详细的登录信息。获得登录信息之后基于WEB管理界面发送恶意HTTP协议POST的方法，利用命令注入POST方法执行漏洞(CVE-2019-1652) 获得root用户权限，在受影响的设备上执行任意命令，该漏洞(CVE-2019-1652)是由于用户在使用POST方法提交参数时，规则验证不完善所造成的恶意命令执行漏洞。

四、POC执行验证

安天微嵌分析小组使用Cisco RV320设备搭建了验证环境，结合上述的分析过程对公开的POC进行了验证。

4.1 获取目标设备信息

该POC综合利用未经身份授权检索敏感信息漏洞 (CVE-2019-1653)和远程代码命令注入执行漏洞(CVE-2019-1652)，通过POC的运行获取目标设备的用户名、用户登录口令的HASH值、加权值等信息。

通过获取目标设备的用户名、用户登录口令的HASH值、加权值，利用命令注入执行漏洞(CVE-2019-1652)启动Telnet服务，与被攻击设备连接并实现远程控制。

4.2 获取目标设备命令集

命令注入执行成功并获取root权限的当前目标设备命令集。如图4-1所示。

201905064.1.png

图4-1当前目标设备命令集

图4-1中在被攻击设备中显示出当前设备可用命令。设备命令中包含安装和登录、文件处理、系统管理、网络操作、系统安全、其它功能等命令集合。

4.3 从FTP服务器中下载攻击文件

搭建FTP服务，使用该命令集内的FTPGET可以实现下载文件到目标路由器中，如图4-2所示。

201905064.2.png

图4-2 FTP服务器下载文件到目标设备

图4-2中攻击者可以使用FTPGET命令从FTP服务器中下载攻击文件，攻击Cisco RV320路由器，导致Cisco RV320路由器被植入后门或远程控制的严重后果。

4.4 补丁有效性验证

Cisco公司针对上述漏洞提供了补丁，我们同时也对补丁有效性进行了验证。

如图4-3所示：使用POC程序验证更新补丁后的设备是否存在远程检索敏感信息漏洞(CVE-2019-1653)和命令注入执行漏洞(CVE-2019-1652)。

201905064.3.png

图4-3 验证CiscoRV320路由器漏洞

图4-3中POC程序无法对更新补丁后的设备造成影响。

我们对原POC程序文件进行了修改，通过其它手段获得路由器用户名、用户口令HASH值，并将其作为前置参数替换原来的漏洞(CVE-2019-1653)结果，来验证RV320路由器更新补丁之后是否可以执行命令注入漏洞(CVE-2019-1652)，如图4-4所示。

201905064.4.png

图4-4已知用户名、口令验证命令注入漏洞

图4-4中提示登录失败。抓取HTTP数据协议分析发现，更新过补丁的CiscoRV320路由器口令的HASH值每次登录都在改变，通过使用上次捕获工具抓取的用户口令HASH值已经不能登录，从而使得原来静态的口令HASH方式的漏洞(CVE-2019-1652)利用失效。

经验证，更新固件v1.4.2.22版本后，固件中的未经身份授权检索敏感信息漏洞(CVE-2019-1653)不能通过链接方式访问，表示该漏洞不能被利用。使用捕获工具抓取用户名、用户口令HASH值不能执行命令注入漏洞(CVE-2019-1652)。

五、防护建议

路由器作为网络中的重要节点，一旦受到控制最直接的后果就是影响设备的正常运行，进而对网络运行造成影响；同时攻击者也可以通过路由器作为跳板进一步入侵所在网络，进行病毒传播、情报窃取和网络破坏等危险行为。本次验证的漏洞允许未经授权的攻击者获取路由器的敏感信息，如登陆管理界面所需的明文用户名和口令HASH值，通过对HASH值破解也可以得到口令的明文，由此获得路由器WEB管理的用户名和口令即可以开启路由器的telnet远程控制，从而配合相应的服务能够实现文件的上传、下载和任意代码执行等动作，存在严重的安全隐患。目前Cisco已经发布针对此漏洞的新固件，固件版本1.4.2.22 ，经过分析小组验证该版本固件已经修补了上述漏洞，受影响设备需要及时更新到最新版固件。

综合上述情况，为了有效降低漏洞所带来的安全风险，提高产品安全性进而有效提升产品所在网络的安全防护能力，保障客户价值，安天建议客户从官网下载最新版本的固件，更新设备固件，有效避免漏洞被攻击者利用，以免对目标网络造成严重威胁；同时为了保证设备和设备所在网络的安全，需要网络管理员定期检查官方发布的路由器固件更新，及时更新设备固件，避免新的漏洞被攻击者利用。