按 Enter 到主內容區
:::

TWCERT-電子報

:::

提高警覺,中控式wifi熱點管理軟體CWM-100將成惡意掃描跳板

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-04-03
  • 點閱次數:825
提高警覺,中控式wifi熱點管理軟體CWM-100將成惡意掃描跳板

CVE編號

CVE-2018-15515 CVE-2018-15516 CVE-2018-15517

內文

●概述:
CWM-100係D-Link開發之Central Wifi-Manager工具,以web介面監控管無線網路設備,具備多種用戶認證與頻寬優化技術,經John Page(代號aka hyp3rlinx)分析列出3項弱點,駭客從本機劫持quserex.dll換成惡意檔,將於CaptivelPortal.exe啟動後以最高權限執行惡意作為;而FTP server因使用port 9000且結合預設帳密admin/admin,容易被利用進行FTP彈跳式攻擊,以Nmap工具掃描大量IP及port,掌握網路設備狀態;而MailConnect元件更因不限制TCP流量送至任意IP和port,成為伺服器端請求偽冒(SSRF)突破點,經由特定URI格式,可規避防火牆發動port scan,上述行動皆暴露網路設備詳細資訊,恐帶來勒索程式、botnet等隱憂,而D-Link表示修補計畫仍在進行,預計12月中旬有結果,CWM-100使用者請關注官方FTP站台檔案陳列。
●編註:
(1)漏洞癥結及入侵手法
(1-1)DLL Hijacking
CWM-100基本功能中有一項使用者驗證服務Captive portal(強制入口頁面),將訪客導向認證網頁相關之DNS或IP,登入後始授權存取並計時計費,啟動該服務涉及特定執行檔CaptivelPortal.exe,會運用相同路徑內的32位元動態連結函式庫quserex.dll,若駭客可取得CWM-100設備實體操作權,置換成假造quserex.dll,重啟CaptivelPortal.exe則劫持住quserex.dll,且接續執行的惡意payload形同管理者等級木馬,能完全控制主機。
(1-2)FTP Bounce Attack
所謂FTP彈跳式攻擊,概念即是借道伐虢,利用FTP主動模式與受害主機指定port建立通信,危機不在FTP server,卻在別台電腦;故採用Man-In-The-Middle手法,攻擊者借用D-LINK CWM-100之FTP server元件,發動port scan去刺探線上設備狀態,舉例而言,可使用Nmap網路診斷工具(詳影片):
nmap -v -b admin:admin@10.10.10.1:9000 10.10.10.200 -p 21,22,23,53,445
因為CWM-100有預設帳密admin/admin,而FTP server設定守聽port 9000,從FTP server(10.10.10.1)掃描目標(10.10.10.200)上5個通信埠,可得知其詳細服務開啟狀態,表面上無害,但相關資訊卻是入侵情報,port 445原本僅供SMB資料共享之用,但也是WannaCry勒索程式散播管道,且nmap便利之處,在於可偵測子網段,亦可從檔案中定義目標清單,發動重點掃描,在受害主機日誌中顯示,所有偵掃紀錄皆源自FTP server,無法鎖定攻擊者。
(1-3)Server-Side Request Forgery
D-LINK產品中的MailConnect元件,負責檢查與SMTP server之間連線,然該元件實際上允許TCP流量送至任意IP及任意port,此種設計瑕疵讓伺服器端請求偽冒(SSRF)得以生效,駭客為發動port scan,使用特定格式URI,即可規避防火牆,讓網管員難以追究責任,範例如下:
https://10.10.10.10/index.php/System/MailConnect/host/VICTIM-IP/port/22/secure/
經由CWM-100的MailConnect,對目標IP掃描,確認其port 22(secure shell)是否啟動,手動輸入探勘URI自然沒效率,但使用script可自動執行批次掃描,蒐集大量IP及port資訊。
(2)軟體獲得途徑
在D-LINK官網免費下載CWM-100,須經過https://download.hq.dlink.com/CWM-100/,並填入個資及聯絡方式,較為麻煩又不甚安全,況且無法事先得知版本訊息,使用者可查閱其FTP站台(ftp://ftp2.dlink.com/SOFTWARE/CENTRAL_WIFI_MANAGER/),確認更新版本出現再下載,目前最新者1.03R0100_BETA1.zip係9月27日釋出,然目的為修補更早前的XSS、檔案上傳漏洞,與本篇所述軟體破綻無關。
(3)資料勘誤
(3-1)綠盟科技轉載FTP Server漏洞之網頁(http://www.nsfocus.net/vulndb/41899),其參考來源誤植,導向Server-Side Request Forgery貼文。
(3-2)D-Link安全公告僅公開1項漏洞(CVE-2018-15515),同本文(1-1) DLL Hijacking所述,然其鏈結導向NVD官網CVE-2018-17402內容,與D-Link產品無關,似有遮掩之意。

影響產品

CWM-100 1.03 r0098版

解決辦法

回頁首