注册
登录
标签
统计
帮助
中神通公司技术论坛
»
同行动态
» 关于磊科(NetCore)全系列路由器中的“疑似后门”程序
‹‹ 上一主题
|
下一主题 ››
发新话题
发布投票
发布商品
发布悬赏
发布活动
发布辩论
发布视频
打印
关于磊科(NetCore)全系列路由器中的“疑似后门”程序
linda
琳达
版主
发短消息
加为好友
当前离线
1
#
大
中
小
发表于 2015-1-4 15:21
显示全部帖子
关于磊科(NetCore)全系列路由器中的“疑似后门”程序
关于磊科(NetCore)全系列路由器中的“疑似后门”程序
2014年12月28日 12:52
看近年来的路由器后门,多数是内置了超级密码,可直接登录路由管理后台,或是后台开启了
FTP
,可以任意文件上传下载等,再有就是存在一些很明显的
”
漏洞
”
,这些勉强也说得过去,但如果直接监听端口,可以执行命令上传下载文件,那就有点太说不过去了。也许是为了远程调试设备,维护设备,但是,这些功能是不是有点过了呢?
描述
磊科
(NetCore)
路由器中内置了一个叫做
IGDMPTD
的程序,按照它的描述应该是
IGD MPT Interface daemon 1.0
。该程序会随路由器启动,并在公网上开放端口,攻击者可以执行任意系统命令、上传下载文件,控制路由器。
一切的开始源自于今年
8
月份买了一个磊科
(NetCore)
家用路由器。随后发现
IGDMPTD
,并做了测试工具验证。
Google
后发现在今年
8
月
25
日,趋势科技的研究员
Tim Yeh
发表文章描述了这个
”
疑似后门
”
的
IGDMPTD
,并报告厂商。
http://blog.trendmicro.com/trendlabs-security-intelligence/netis-routers-leave-wide-open-backdoor/
随后在今年
10
月
3
日
Tim Yeh
再次发表文章,指出磊科官方并未完全删掉这个
”
后门程序
”
。
http://blog.trendmicro.com/trendlabs-security-intelligence/netis-router-backdoor-patched-but-not-really/
随后我在京东购买两款
NW774
路由器,并安装官方最新升级固件(
2014-11-7
日更新),发现使用
8
月份编写的测试工具不需修改仍可正常使用。
废话不多说先看看这个
”IGDMPTD”
都能干嘛。
先拿我自己的路由器来测试一下。
IGDMPTD
的第一项功能就是可以执行
Command
。如下图所示,至于能执行哪些命令,这取决于路由器系统中
busybox
的阉割程度。
第二项功能就是可以上传
/
下载文件。同样的,能否成功取决于目录是否可写。
第三项功能是
IGDMPTD
内置了很多功能函数,具体功能和版本相关,下图是我使用的路由器版本提供的
MPT
功能。
我尝试了几款不同型号的路由器和不同版本的固件,新版本中基本全都提供了上图中的功能,在老版本中可能没有提供这么多
MPT
功能,常用的有
$WritieMac
、
$ReadMac
、
$ReadSsid
、
$WriteSsid
、
$ReadRegDomain
、
$WriteRegDomain
、
$TestUsb
、
$SetSsid
、
$GetSsid
。
注意看
$ReadWwwPasswd
这条指令,可以获取路由器
WEB
登录密码,下图中的
guest
就是我路由器管理员登录密码。相比之下,
DLink
内置一个万能密码来登录路由管理页面简直弱爆了。
以上测试环境是内网。如果这个端口只是开在内网,那就没什么问题了,方便调试和维护路由器。但可怕的是
IGDMPTD
监听的
IP
地址是
INADDR_ANY,
,意味着这个端口将暴漏在公网上。为了验证该程序的危害,我用
nmap
随便扫了几个
IP
,并下载了
/etc/passwd
文件。
到这里相信大家已经见识到
IGDMPTD
的可怕之处了。希望官方能给大众一个合理的解释,我相信这是开发人员为了方便调试设备留下的程序,只是不小心将
IP
绑定在了公网。
IGDMPTD
分析
/bin
目录下存在一个
”
功能强大
”
的可执行文件
igdmptd
,该程序会随路由器启动,并监听端口,通过逆向分析发现其提供了任意命令执行、内置功能、文件上传下载功能。
程序运行环境为
MIPS
(
Big Endian
)。将
igdmptd
拖进
IDA
可自动识别,将程序解析为
mips
汇编指令。
create_server
函数中创建了
udp
的
socket
网络连接,并绑定
53413
端口,
sockAddr.sin_addr
设置为
INADDR_ANY
,意味着
53413
端口将暴漏在公网。在
netcore
各路由器中几乎都是使用该端口,若被攻击者利用,后果不堪设想。
通过
IDA
静态分析可以发现几个比较有特点的函数。这也是
igdmptd
的主要工作函数,
igdmptd
的可怕之处就在于这几个函数。
do_mptlogin
是登录验证函数。
验证通过会将登陆状态保存在全局变量中,第二次发包时就会绕过口令验证部分。也就是说,只要
igdmptd
被人成功连接一次,
后来者可直接发包使用
igdmptd
的其他功能,除非路由器重启,全局变量重置。
do_syscmd
用于执行系统命令。
do_getfile
可以从路由器下载任意文件到本地。
do_putfile
可以上传任意文件到路由器。
do_mptfun
提供一些常用功能,比如
另外宽带通这些宽带厂商与磊科合作出产的路由器也存在这些问题。
基本就是这些内容了,测试工具已销毁。
原文:
http://weibo.com/p/1001603792736686871336
[
本帖最后由 linda 于 2016-2-15 16:20 编辑
]
搜索更多相关主题的帖子:
磊科
NetCore
路由器
后门
非授权访问
UID
123
帖子
1826
精华
5
积分
50
阅读权限
100
在线时间
761 小时
注册时间
2013-8-15
最后登录
2024-11-25
查看详细资料
TOP
‹‹ 上一主题
|
下一主题 ››
官方发布
通知公告
产品下载
购买咨询
技术讨论
系统管理
系统管理
状态统计
访问控制
基础策略
内置服务
网络设置
应用过滤
特殊应用
网络审计
WEB审计过滤(WAF)
DNS过滤
WEB代理及过滤
FTP、POP3、SMTP过滤
MSN、QQ过滤
VOIP应用
防病毒、防垃圾邮件引擎
入侵防御
蜜罐检测
IDP规则及IPS状态
远程接入
用户认证
IKEv2/IPsec
OCSERV
PPTP/L2TP
OpenVPN/SSLVPN
WireGuard
SoftEther/SSTP
SSL接入
大地云控
IT技术交流
硬件选型
虚拟化&云计算&SDN&NFV
真实IT经验
灌水聊天
同行动态
行业信息
龙门阵