黑客利用未經身份驗證的命令注入漏洞破壞 D-Link VPN 路由器

威脅參與者可能利用未經身份驗證的命令注入漏洞來破壞D-Link VPN路由器。

Digital Defense的安全研究人員發現了D-Link VPN路由器中的三個漏洞，包括命令注入漏洞和經過身份驗證的crontab注入漏洞。

專家最初發現了運行固件版本3.17的DSR-250路由器家族中的漏洞，進一步的調查使專家能夠確定這些漏洞還影響了其他設備，包括D-Link DSR-150，DSR-250，DSR-500和DSR-1000AC VPN路由器，運行固件版本3.17和更低版本。

最嚴重的漏洞是未經身份驗證的命令注入漏洞，攻擊者可能會利用該漏洞通過LAN或WAN訪問“ Unified Services Router” Web界面來執行具有root特權的命令。攻擊者可以通過向易受攻擊的設備發送經特殊設計的請求來輕松觸發此問題。

“有權訪問LAN或WAN上“ Unified Services Router” Web界面的未經身份驗證的用戶可以通過精心設計的請求注入任意命令，這些請求將以root特權執行。” 閱讀D-Link發布的建議。*
“以下lua cgi操作（無需身份驗證即可訪問）執行lua庫函數，該函數將用戶提供的數據傳遞給對os.popen（）的調用，作為旨在計算哈希的命令的一部分：/platform.cgi?action = duaAuth，/ platform.cgi？action = duaLogout”

利用此漏洞可能允許未經身份驗證的攻擊者接管路由器。然后，攻擊者可以攔截和修改流量，觸發拒絕服務（DoS）條件或進行其他惡意活動。

第二個漏洞是經過身份驗證的根命令注入，可以由經過身份驗證的用戶使用，該用戶可以訪問LAN或WAN上的“統一服務路由器”Web界面，以通過精心設計的請求注入任意命令，這些請求將以root特權執行。

“Lua CGI處理來自“ Unified Services Router” Web界面中“包管理”表單的請求，它沒有針對傳遞給os的多部分POST參數有效負載的服務器端過濾。execute（）函數，旨在將上傳的文件移動到另一個目錄。” 繼續報告。

第三個漏洞是經過身份驗證的Crontab注入，它可以允許經過身份驗證的用戶注入任意CRON條目，然后將其作為root用戶執行。

D-Link確認正在努力解決前兩個漏洞，該供應商計劃在2020年12月中旬發布安全更新以修復它們。

由于以下原因，D-Link不會針對第三個漏洞發布任何修復程序；

“ D-Link拒絕承認該報告。對于這一代產品，設備使用純文本配置，該設計旨在直接編輯配置并將其相應地上傳到相同的DSR設備。如果D-Link緩解了問題＃1和＃2以及其他最近報告的問題，則惡意用戶將需要設計一種方法來獲得對設備的訪問權限以上傳配置文件，因此我們可以理解該報告，但可以對報告進行分類修補的固件可用后，報告為低威脅。”*