如何在企业硬件设备中挖掘安全漏洞

研究发明，亚马逊上销量最好的50种斲丧级路由器都存在有安详裂痕，个中20款是出厂固件就可被黑客操作。但成果之战和利润收窄也许会导致进入不安详路由器期间。为确定该题目是否仅范围于斲丧市场，有须要对企业收集应用的无线路由器举办评估。

买得起的斲丧级路由器品牌许多，企业装备就没那么自制了，能检测完一个产物系列已是预算极限。于是，先用安卓WiFi说明器挑出真实天下情形被安装最普及的品牌即黑白常天然的事。Dell’Oro Group 的一份陈诉指出，Ruckus占有了2014年第4季度安装数目的42%阁下。因此，安详公司Tripwire选中了Ruckus作为用来评估的企业级路由器品牌。下面的内容是如安在硬件装备中查找裂痕的要领和进程。

测试要领

为使比拟有用，最好将测试限定在HTTP接口，并行使与查找斲丧级路由器裂痕沟通的要领。

因为之前的一些路由器安详评估已成立起了一套有用测试进程，要领选择上异常轻易。在较高层级，测试员回收了手动恍惚测试与部门自动化查询相团结的要领，个中自动化查询是成立在从固件抽取的信息和可用Shell会见的信息上的。

本年早些时辰，这些测试技能就在题为《洗脑嵌入式体系》的AusCERT教程中展示过。本年的 DEF CON 24 接头会和 SecTor 2016 实习课也同样分享了这些技能。

第一印象

在对昂贵的高端Ruckus型号测试前，不妨先用二手 Ruckus ZoneFlex 举办测试，虽然，固件要进级到2015年10月27号的最新版。

颠末几分钟的配置，一个指令注入裂痕被发明。该裂痕源于缺乏跨站哀求伪造(CSRF)标志的缺乏，因而通过一个简朴的伪造哀求就便可轻松操作。在早年测试过的斲丧级路由器上，ZoneFlex为打点员提供执行诊断的选项，包罗了简朴的ping测试，但明明没有任何的输入检测。存在此裂痕的每一款斲丧级路由器上，这都是致命的。

尽量轻量级斲丧嵌入式装备凡是都用root权限运行全部历程，想必一款企业级产物是会回收权限断绝的。ping操纵明明用不到什么非凡权限，用个会见受限的平凡用户权限就够了。但测试功效倾覆了想象。通过结构ping参数来发生一个telnet保卫历程的测试竟然乐成了，很轻松地拿到了root shell。

这一功效让人确信：在当前型号中举办测试是故意义的。

说明 Ruckus HTTP 接口

谷歌一搜就会发明，找到这个明明的指令注入裂痕的人还真不少。

尝试用ZoneFlex机型早已停产，上面的固件天然是老练不能再老的。本觉得这种触手可及的裂痕在新系列产物中应该已被补上，但用带最新固件(版本号：100.1.0.0.432)的 Ruckus H500 做测试时，功效再一次令人震惊：这么简朴的ping注入竟然依然可以大行其道！从 Ruckus H500 配置的接入点获取到shell后，还可以获取到Web处事器文档根目次所含文件的列表，将黑客动作进一步深入。这一微不敷道的进程既可以通过shell完成，也可以通过固件抽取来告竣，乃至还可以定位嵌入随处事器二进制文件中的URI(同一资源标识符)。

对H500机型的测试中，除了固件更新里可见的文件，测试员并没有问鼎其他文件。然后，文件列表被馈送给爬虫剧本举办处理赏罚。该剧本可以爬取HTTP处事器并记录下哪些文件不必要身份验证就可读取。

功效

与斲丧级装备中常见征象一样，这一相等简朴的进程袒暴露了一系列题目：

• 验证规避：含有特定字符串的所有哀求都收到了‘200 OK’相应。通过往其他哀求中添加上该字符串，仅用于已验证查询的相应数据也可以被获得。NETGEAR、TrendNET、华硕，这些厂家的路由器中都存在这个题目。

• 拒绝处事：有个不必要身份验证就能用HTTP会见的特定页面，假如通过SSL(安详套接字层)哀求，会导致打点界面不行用。这对作为热门行使时依赖HTTP的该产物而言，有也许造成严峻效果。

• 信息袒露：该装备的序列号可被HTTP处事器袒露。这一题目会不会造成什么直接安详影响尚未可知，但进攻者显然可以将之用作社工工程计策的一部门。其他产物内里也发明白把序列号用作装备全部者证明的征象。

其它，特定页面的验证哀求也许会触发特另外内存耗损，导致HTTP处事器重载，也许会影响到其他处事。这一进攻方法可通过GET哀求实现，因此，HTML文档或电子邮件里的恶意图像标签,就可以作为跨站哀求伪造(CSRF)进攻的途径了。

Ruckus的相应

这不是Ruckus接入点的独一裂痕，因此，测试员接洽了厂商。

与某些必要大费周章才气找到响应安详接洽人的厂商差异，Ruckus有网页列出了PGP密钥和电子邮件地点供陈诉裂痕。固然这凡是是有责任感企业的符号，但测试员不绝的陈诉实行照旧遭到了踢皮球的报酬。

早在2016年1月，间隔第一次向Ruckus陈诉1个月之后，测试员又向其他发布出来的安详接洽人电邮地点陈诉了多次。一名网站打点员回覆说会成立个账户，但在从头发送了陈诉并要求吸取确认后，没有了下文。于是，当月稍晚些时辰，测试员接洽了为该裂痕分派编号VU#974320的CERT，确认他们也无法得到Ruckus的回覆。

Ruckus不认可有收到过任何裂痕陈诉，直到Tripwire首席研究官大卫·梅尔泽尔直接通过LinkedIn接洽到Ruckus的高层。

然后，测试员收到了本身1月份裂痕陈诉加密邮件的转发副本，附带一条收到确认哀求。在之后的电话雷同中，测试员被奉告，Ruckus未能解密该邮件信息，因而忽略了此份裂痕陈诉邮件，而且也基础不知道CERT曾实行接洽过他们。Ruckus还说，这些在HTTPS接口泛起的裂痕除非是在单机模式下运行，不然不会袒暴露来。

这些声明是否属实尚未验证，不外，对Ruckus产物做个全面的安详审计好像是有须要的。

履历教导

本次研究项目好像证明白，“企业级”硬件在安详意义上未必具备企业级品格。

Ruckus装备审计经验与其他内地计较机市肆无线路由器的审计经验异常相同。究竟上，身份验证规避和指令注入根基上也是100~200美元的SOHO装备常见题目。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!