黑客利用未经身份验证的命令注入漏洞破坏 D-Link VPN 路由器

威胁参与者可能利用未经身份验证的命令注入漏洞来破坏D-Link VPN路由器。

Digital Defense的安全研究人员发现了D-Link VPN路由器中的三个漏洞，包括命令注入漏洞和经过身份验证的crontab注入漏洞。

专家最初发现了运行固件版本3.17的DSR-250路由器家族中的漏洞，进一步的调查使专家能够确定这些漏洞还影响了其他设备，包括D-Link DSR-150，DSR-250，DSR-500和DSR-1000AC VPN路由器，运行固件版本3.17和更低版本。

最严重的漏洞是未经身份验证的命令注入漏洞，攻击者可能会利用该漏洞通过LAN或WAN访问“ Unified Services Router” Web界面来执行具有root特权的命令。攻击者可以通过向易受攻击的设备发送经特殊设计的请求来轻松触发此问题。

“有权访问LAN或WAN上“ Unified Services Router” Web界面的未经身份验证的用户可以通过精心设计的请求注入任意命令，这些请求将以root特权执行。” 阅读D-Link发布的建议。*
“以下lua cgi操作（无需身份验证即可访问）执行lua库函数，该函数将用户提供的数据传递给对os.popen（）的调用，作为旨在计算哈希的命令的一部分：/platform.cgi?action = duaAuth，/ platform.cgi？action = duaLogout”

利用此漏洞可能允许未经身份验证的攻击者接管路由器。然后，攻击者可以拦截和修改流量，触发拒绝服务（DoS）条件或进行其他恶意活动。

第二个漏洞是经过身份验证的根命令注入，可以由经过身份验证的用户使用，该用户可以访问LAN或WAN上的“统一服务路由器”Web界面，以通过精心设计的请求注入任意命令，这些请求将以root特权执行。

“Lua CGI处理来自“ Unified Services Router” Web界面中“包管理”表单的请求，它没有针对传递给os的多部分POST参数有效负载的服务器端过滤。execute（）函数，旨在将上传的文件移动到另一个目录。” 继续报告。

第三个漏洞是经过身份验证的Crontab注入，它可以允许经过身份验证的用户注入任意CRON条目，然后将其作为root用户执行。

D-Link确认正在努力解决前两个漏洞，该供应商计划在2020年12月中旬发布安全更新以修复它们。

由于以下原因，D-Link不会针对第三个漏洞发布任何修复程序；

“ D-Link拒绝承认该报告。对于这一代产品，设备使用纯文本配置，该设计旨在直接编辑配置并将其相应地上传到相同的DSR设备。如果D-Link缓解了问题＃1和＃2以及其他最近报告的问题，则恶意用户将需要设计一种方法来获得对设备的访问权限以上传配置文件，因此我们可以理解该报告，但可以对报告进行分类修补的固件可用后，报告为低威胁。”*