提高警覺,中控式wifi熱點管理軟體CWM-100將成惡意掃描跳板
- 發布單位:TWCERT/CC
- 更新日期:2019-04-03
- 點閱次數:825
CVE編號
內文
●概述:
CWM-100係D-Link開發之Central Wifi-Manager工具,以web介面監控管無線網路設備,具備多種用戶認證與頻寬優化技術,經John Page(代號aka hyp3rlinx)分析列出3項弱點,駭客從本機劫持quserex.dll換成惡意檔,將於CaptivelPortal.exe啟動後以最高權限執行惡意作為;而FTP server因使用port 9000且結合預設帳密admin/admin,容易被利用進行FTP彈跳式攻擊,以Nmap工具掃描大量IP及port,掌握網路設備狀態;而MailConnect元件更因不限制TCP流量送至任意IP和port,成為伺服器端請求偽冒(SSRF)突破點,經由特定URI格式,可規避防火牆發動port scan,上述行動皆暴露網路設備詳細資訊,恐帶來勒索程式、botnet等隱憂,而D-Link表示修補計畫仍在進行,預計12月中旬有結果,CWM-100使用者請關注官方FTP站台檔案陳列。
●編註:
(1)漏洞癥結及入侵手法
(1-1)DLL Hijacking
CWM-100基本功能中有一項使用者驗證服務Captive portal(強制入口頁面),將訪客導向認證網頁相關之DNS或IP,登入後始授權存取並計時計費,啟動該服務涉及特定執行檔CaptivelPortal.exe,會運用相同路徑內的32位元動態連結函式庫quserex.dll,若駭客可取得CWM-100設備實體操作權,置換成假造quserex.dll,重啟CaptivelPortal.exe則劫持住quserex.dll,且接續執行的惡意payload形同管理者等級木馬,能完全控制主機。
(1-2)FTP Bounce Attack
所謂FTP彈跳式攻擊,概念即是借道伐虢,利用FTP主動模式與受害主機指定port建立通信,危機不在FTP server,卻在別台電腦;故採用Man-In-The-Middle手法,攻擊者借用D-LINK CWM-100之FTP server元件,發動port scan去刺探線上設備狀態,舉例而言,可使用Nmap網路診斷工具(詳影片):
nmap -v -b admin:admin@10.10.10.1:9000 10.10.10.200 -p 21,22,23,53,445
因為CWM-100有預設帳密admin/admin,而FTP server設定守聽port 9000,從FTP server(10.10.10.1)掃描目標(10.10.10.200)上5個通信埠,可得知其詳細服務開啟狀態,表面上無害,但相關資訊卻是入侵情報,port 445原本僅供SMB資料共享之用,但也是WannaCry勒索程式散播管道,且nmap便利之處,在於可偵測子網段,亦可從檔案中定義目標清單,發動重點掃描,在受害主機日誌中顯示,所有偵掃紀錄皆源自FTP server,無法鎖定攻擊者。
(1-3)Server-Side Request Forgery
D-LINK產品中的MailConnect元件,負責檢查與SMTP server之間連線,然該元件實際上允許TCP流量送至任意IP及任意port,此種設計瑕疵讓伺服器端請求偽冒(SSRF)得以生效,駭客為發動port scan,使用特定格式URI,即可規避防火牆,讓網管員難以追究責任,範例如下:
https://10.10.10.10/index.php/System/MailConnect/host/VICTIM-IP/port/22/secure/
經由CWM-100的MailConnect,對目標IP掃描,確認其port 22(secure shell)是否啟動,手動輸入探勘URI自然沒效率,但使用script可自動執行批次掃描,蒐集大量IP及port資訊。
(2)軟體獲得途徑
在D-LINK官網免費下載CWM-100,須經過https://download.hq.dlink.com/CWM-100/,並填入個資及聯絡方式,較為麻煩又不甚安全,況且無法事先得知版本訊息,使用者可查閱其FTP站台(ftp://ftp2.dlink.com/SOFTWARE/CENTRAL_WIFI_MANAGER/),確認更新版本出現再下載,目前最新者1.03R0100_BETA1.zip係9月27日釋出,然目的為修補更早前的XSS、檔案上傳漏洞,與本篇所述軟體破綻無關。
(3)資料勘誤
(3-1)綠盟科技轉載FTP Server漏洞之網頁(http://www.nsfocus.net/vulndb/41899),其參考來源誤植,導向Server-Side Request Forgery貼文。
(3-2)D-Link安全公告僅公開1項漏洞(CVE-2018-15515),同本文(1-1) DLL Hijacking所述,然其鏈結導向NVD官網CVE-2018-17402內容,與D-Link產品無關,似有遮掩之意。
影響產品
解決辦法
相關連結
- https://vimeo.com/299797225
- http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-SYSTEM-PRIVILEGE-ESCAL
- https://appuals.com/d-links-central-wifi-manager-seems-to-be-vulnerable-to-privilege-escalation-atta
- http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-FTP-SERVER-PORT-BOUNCE
- http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-SERVER-SIDE-REQUEST-FO
- http://www.nsfocus.net/vulndb/41900
- https://packetstormsecurity.com/files/150244/D-LINK-Central-WifiManager-CWM-100-1.03-r0098-DLL-Hijac
- https://packetstormsecurity.com/files/150242/D-LINK-Central-WifiManager-CWM-100-1.03-r0098-Man-In-Th
- https://ithelp.ithome.com.tw/articles/10188705
- http://www.nsfocus.net/vulndb/41898
- https://packetstormsecurity.com/files/150243/D-LINK-Central-WifiManager-CWM-100-1.03-r0098-Server-Si
- https://hk.saowen.com/a/7ae288d3b3d5904e524b89156fddcb2c39ecff325386dce15bc7929279d32f5e
- https://blog.xuite.net/gyes.gyes/blog/64025768-%25E7%2584%25A1%25E7%25B7%259A%25E7%25B6%25B2%25E8%25
- http://us.dlink.com/products/business-solutions/central-wifimanager-software-controller/
- https://securityadvisories.dlink.com/announcement/publication.aspx?name=SAP10098
- https://securityadvisories.dlink.com/announcement/publication.aspx?name=SAP10092
- https://ssorc.tw/4271
- https://blog.gtwang.org/linux/nmap-command-examples-tutorials/
- https://3r666i1jighb3lk1esyfbgdk-wpengine.netdna-ssl.com/wp-content/uploads/2015/01/DAP-2230-N300-Wi