Fidus 的研发团队发现了 Virgin Media Super Hub 3 (维珍宽带)路由器中的一个漏洞,该漏洞允许远程泄露敏感信息,这些信息可以用来确定VPN用户的实际ISP发布的IP地址。
DNS重绑定攻击是通过简单地访问一个网页几秒钟来揭示用户的实际IP地址。出于概念证明的目的,这已经被做成了图形化,但需要注意的是,这可以默默地执行。在我们的测试过程中,可以通过多个流行的 VPN 提供商揭露用户的真实 IP 地址,从而实现完全去匿名化。
路由器的底层模型(ARRIS TG2492)和相关模型是一系列DOCSIS光纤路由器,已被全球多个ISP使用,其中许多属于Liberty Global,该公司还拥有Virgin Media。
初步调查
路由器的网页可以给我们提供很多关于设备如何工作的线索,只需登录页面并在浏览器的开发人员工具中查看网络流量,我们就可以发现一些有用的东西。
查看这些请求,我们就可以看到它使用了 SNMP 的 Web 包装器。我们可以使用这些终端获取和遍历对象标识符 (OID)。通过这两个参数我们可以看到有一个 5 位随机数和一个基于时间的变量。要调用这些,我们还需要一个有效的凭证 cookie,这部分内容稍后会谈到。
通过查看一个walk命令的响应,它将执行我所期望的操作,找到请求的OID的所有子节点并返回它们的值,其中还包括一个finish值。有了这些知识,我们应该能够使用这个端点来寻找我们感兴趣的对象。
调用 OID 为 1.3 的 walk 终端会返回大约 16000 个值。虽然我们不知道大多数指的是什么,但我们可以根据它们的值进行猜测,甚至可以自己设置值来看看有什么变化。然而,页面 JavaScript 有一个OID 列表和它们的描述性名称。
可以看到有一个内置函数来解码 OID,所以我们可以通过它运行列表,而不是从 JavaScript 中获取它。并非所有对象都有描述性名称,有相当多的对象根本没有我们可以访问的名称,但它有助于我们了解了解各个对象的用途。
现在我们有一个完整的对象列表,包括它们的名称和示例值,这样我们就可以查找感兴趣的对象,但也希望有一个不需要身份验证的对象列表(甚至是我们稍后发现的nonce值)。获取它的一个简单方法是编写一个快速脚本来尝试获取每个对象的值,如果成功则记录它。
我们得到大约 60 个值,可以在没有身份验证的情况下读取这些值。将这些与我们的名单对照,绝大多数都不是那么有趣,但其中有一小部分值得关注。
漏洞利用
可以立即注意到的是一个名为“WanCurrentIPAddr.1”的解码值,顾名思义,它包含我们的十六进制格式的外部 IP 地址。
从脚本中我们知道只要加载这个页面,就能获得外部IP,如果外部网页可以访问这些信息,比如当连接到VPN的时候,它可以实现去匿名化连接。现在我们需要一种既调用内部网页又检索数据的方法,同时又是一个外部对象,这就是我们的DNS重新绑定攻击变得有用的地方。
DNS重绑定是一种攻击,当来自该域的页面仍在加载时,域更改了它的IP地址。为了进行配置,我们的域的TTL非常短,因此浏览器需要在几秒钟后再次发出DNS请求以再次获得IP (DNS重新绑定攻击中使用的一种方法)。当这种情况发生时,浏览器将使用JavaScript有效载荷加载页面。JavaScript再次请求我们的域,但路径为“/snmpGet?oid=1.3.6.1.4.1.4115.1.20.1.1.1.7.1.3.1”,它将获取外部 IP(来自 SNMP OID)。由于 TTL 太短,它再次向 DNS 服务器询问服务器的 IP 地址。这次我们将它设置为返回我们的攻击 IP(在示例中是 192.168.0.1),所以当我们的 JavaScript 请求页面时,它会得到路由器的响应。
整个攻击只需要几秒钟的时间,因此只需访问一个 URL,就可以揭开用户实际的底层 IP 地址的掩码,如下所示。
概念验证
我们使用了一些 VPN 测试了该漏洞,以确认其有效性,虽然一些 VPN 提供商默认阻止对本地 IP 地址的访问,但许多提供商并没有这样做。如上图所示,我们的 PoC 适用于一个非常知名的 VPN 服务,但需要注意的是,这并不是唯一一个遇到这个问题的VPN提供商。在右边的窗口和VPN客户端里面,你可以看到我们的VPN IP地址,在左边你可以看到真实的,去匿名化的 IP 地址。
出于 PoC 目的,视频具有交互式 GUI,但在实践中,这种攻击可以在用户不知情的情况下,在看起来完全合法的网页上悄悄运行。[来源:嘶吼网]
网络准入控制系统:构建网络安全防线的关键
在数字时代,企业网络环境的安全性可靠性至关重要。随着黑客入侵方式的不断更新,确保网络资源的安全性完好性,避免未经授权的访问和数据泄漏已成为企业遭遇的一大挑战。因而,网络准入控制系统(NAC)的出现,为企业的网络安全提供了重要保障。网络准入控制系统是一种基于战略安全管理方案,旨在限定及管理连接企业网络的设备。通过一系列的...
桌面管理工具是什么?远程桌面管理软件推荐
随着数据办公的崛起,桌面管理工具已成为企业提高效率、保证信息安全的有效途径。这种工具不仅可以促进资源共享和数据通信,而且还能提高效率,提升信息透明度,并在一定程度上维持数据安全。一、桌面管理工具介绍桌面管理工具,又称桌面管理软件,是一种专门用来集中管理和提高电脑桌面环境的软件。该工具涉及硬件资本管理、软件分销、安全防护...
守护网络边界,精选上网行为审计软件推荐
随着互联网的高速发展,企业正面临着越来越复杂的网络安全挑战。上网行为审计软件是一种重要的网络安全管理工具,能够实时监控并记录网络活动,助力企业快速识别和应对潜在的安全威胁。本文将推荐一些优秀的上网行为审计软件,以帮助您维护公司的网络安全。一、上网行为审计软件的重要性依据网络行为数据的记录与分析,上网行为审计软件能够实现...
网络安全准入系统作用!安企神网络准入系统为您保驾护航
在数字化转型浪潮的推动下,企业的网络环境愈发复杂,网络安全威胁也随之增加。为了确保企业网络的安全和稳定,建立一套高效可靠的网络安全准入系统显得十分重要。今天,我们向大家推荐一款备受信赖的网络安全解决方案——安企神软件网络安全准入系统。一、安企神软件网络准入系统概述安企神软件网络安全准入系统是一种先进的网络安全方案,其目...
远程监控电脑桌面怎么设置?
随着远程办公与团队协作的日益普及,对远程监控电脑桌面的需求也在不断增加。通过远程监控,管理者能够实时掌握员工的工作状态,从而保障团队协作的顺畅进行。那么,如何进行远程监控电脑桌面的设置呢?以下是一份详细的指南,帮助您轻松实现远程监控功能。一、使用Windows自带的远程桌面连接(RDP)1.在被监控的电脑上启用远程桌面...