ZTE SOHO ROUTERWEB_SHELL_CMD.GCH 远程命令执行 分析概要
本文 PDF 下载:ZTE SOHO ROUTERWEB_SHELL_CMD.GCH 远程命令执行 分析概要
2014 年 3 月 3 日,Rapid7 团队发布了中兴 F460 / F660 后门信息[1],任何可以访问设备的用户都可以直接访问一个命令执行的 Web 界面,并以 root 权限执行任意命令。
[1]:https://community.rapid7.com/community/infosec/blog/2014/03/03/disclosure-r7-2013-18-zte-f460-and-zte-f660-webshellcmdgch-backdoor
1.更新情况
2.漏洞概要
2014 年 3 月 3 日,Rapid7 团队发布了中兴 F460 / F660 后门信息[1],任何可以访问设备的用户都可以直接访问一个命令执行的 Web 界面,以 root 权限执行任意命令。
上述设备在中国境内被广泛应用,俗称“电信光猫”。
2.1漏洞描述
ZTE 生产的 SOHO Router 的一些型号中,Web 根目录(/home/httpd )下存在 /web_shell_cmd.gch 文件,没有任何访问控制,可以直接执行任意系统命令。
以下几点值得注意:
- Rapid7 于 2014 年 3 月 3 日公布此漏洞,但是根据搜索结果,此问题早在 2012 年就被人发现,并被当做了破解 ISP 限制的方法在网上公布[2],但是文章重点是介绍了配置命令的用法,对此漏洞只是一笔带过。2013 年也已经有人研究过漏洞相关文件[3]。
- 经过验证,此漏洞不止存在于 Rapid7 公开的两个型号( F460 / F660 )的设备中,其他型号也存在此问题(主要有 F412、F420、F460、F660、ZXA10F460 等)。且描述中的两个型号也不一定存在此漏洞,可能与电信装机时的配置有关。
- 通过此漏洞,远程攻击者可以直接控制设备,修改任意设置。这些设备提供了修改设置的命令行工具,可以直接利用此漏洞通过一个请求就能实现 DNS 劫持等功能。命令参考:http://www.myxzy.com/post-342.html。
- 此漏洞也可以通过 CSRF 方式利用,且无路由器中的常见的基础认证。
示例代码:
------------------------------------------------------------------------------------------------------
1 :https://community.rapid7.com/community/infosec/blog/2014/03/03/disclosure-r7-2013-18-zte-f460-and-zte-f660-webshellcmdgch-backdoor
2:http://www.myxzy.com/post-342.html
3 :http://www.chinadsl.net/forum.php?mod=viewthread&tid=101727
可以执行的命令可以参考上一条提供的链接。
2.2漏洞验证
可以使用如下方法来检查设备是否存在此漏洞:
访问:http://ip/web_shell_cmd.gch
即可执行任意命令。
3.ZoomEye分析概要
来自知道创宇的 ZoomEye 团队(钟馗之眼网络空间探知系统)通过几种方式的组合检测,得到了些影响结论。
Zoomeye 搜索 ZTE 设备:
http://www.zoomeye.org/search?q=%22Mini+web+server+1.0+ZTE%22&t=host
注意:以下这些影响都是可被直接远程攻击的,属于高危级别!
Zoomeye 线上的数据总数 33059 台开放了 Web 服务的中兴设备, 有 1072 受此漏洞影响。
4.修复建议
删除/home/httpd/web_shell_cmd.gch。
执行命令:
rm /home/httpd/web_shell_cmd.gch
5.相关资源链接
1.ZTE 官网:http://www.zte.com.cn
2.知道创宇官网:http://www.knownsec.com/
3.知道创宇旗下 - ZoomEye 官网:http://www.zoomeye.org/
4.知道创宇旗下 - 加速乐云防御平台官网:http://www.jiasule.com/