作者：英國(guó)Xiphos Research高級(jí)安全研究員 Darren Martyn

過去幾個(gè)星期，嵌入式設(shè)備表現(xiàn)出來的安全狀況讓人擔(dān)憂，在Mirai的早期代碼被公開之后，我就認(rèn)為一些“智能設(shè)備”僵尸網(wǎng)絡(luò)將會(huì)迅速傳播，除了telnet掃描之外，可能還會(huì)以其它多種方式擴(kuò)大感染范圍。果不其然，這種情況真的出現(xiàn)了-《德國(guó)路由器漏洞導(dǎo)致的大規(guī)模DDos攻擊》

坦率地說，我個(gè)人認(rèn)為，導(dǎo)致上述德國(guó)網(wǎng)絡(luò)受到攻擊的首要原因，歸根到底不是因?yàn)镸irai，而是因?yàn)樵O(shè)備供應(yīng)商在運(yùn)行TR-064協(xié)議時(shí)存在的漏洞。這是目前經(jīng)我們研究發(fā)現(xiàn)的，一些受TR-064漏洞影響的設(shè)備供應(yīng)商和產(chǎn)品列表：完整列表點(diǎn)此獲取 paste.ubuntu

以下是我個(gè)人對(duì)TR-064技術(shù)標(biāo)準(zhǔn)的安全性分析：

TR-064協(xié)議理解

TR-064：全稱LAN側(cè)DSL設(shè)備管理配置協(xié)議，是LAN 端對(duì)路由器、調(diào)制解調(diào)器等客戶終端設(shè)備（CPE) 的管理協(xié)議。在家庭網(wǎng)絡(luò)環(huán)境或ISP公司內(nèi)網(wǎng)中，允許各種客戶端軟件進(jìn)行連接操作或技術(shù)支持管理。這些軟件包括ISP提供商的CD安裝程序或軟件包等。

TR-064規(guī)格基于類似UPnP的SOAP協(xié)議，允許查看、修改和設(shè)置，其默認(rèn)端口為TCP 7547。命令會(huì)以POST請(qǐng)求的形式被發(fā)送至此端口。通過該協(xié)議，可以實(shí)現(xiàn)設(shè)備的DNS服務(wù)器、NTP服務(wù)器、wifi設(shè)置和ACS服務(wù)器等配置的修改。

TR-064安全模型

在TR-064的技術(shù)標(biāo)準(zhǔn)文檔第4節(jié)，對(duì)安全性作了說明，其中指出“任何對(duì)CPE設(shè)備的更改性訪問行為都必須有密碼保護(hù)”，另外，文檔還提到任何登錄訪問必須要求HTTP基本認(rèn)證，當(dāng)然建議使用SSL/TLS；其次，對(duì)密碼等敏感信息設(shè)置不可讀權(quán)限，對(duì)狀態(tài)、數(shù)據(jù)設(shè)置只讀權(quán)限，而“認(rèn)證”（authentication）項(xiàng)則不作要求。

雖然文檔中聲明此協(xié)議規(guī)定只限LAN端的訪問管理，但并沒有特別指出WAN端口對(duì)協(xié)議服務(wù)的訪問限制。

TR-064技術(shù)標(biāo)準(zhǔn)中的安全缺陷

1.未對(duì)認(rèn)證模式設(shè)置只讀權(quán)限；

2.僅限制了對(duì)設(shè)備配置的更改和寫入操作才需要密碼認(rèn)證；

3.僅設(shè)置了對(duì)密碼信息的不可讀權(quán)限。

另外，在現(xiàn)實(shí)情況中，很多供應(yīng)商要么就根本就沒有發(fā)現(xiàn)該標(biāo)準(zhǔn)中存在的不足，要么就是完全忽略了安全的重要性，把這些標(biāo)準(zhǔn)束之高閣。而即使是按照該TR-064標(biāo)準(zhǔn)執(zhí)行的廠商，其設(shè)備當(dāng)然會(huì)存在安全問題，如認(rèn)證操作濫用、WAN端接入和其它信息的獲取。

TR-064端口暴露在互聯(lián)網(wǎng)上的安全風(fēng)險(xiǎn)

簡(jiǎn)單的說，目前TR-064協(xié)議存在的問題將會(huì)導(dǎo)致攻擊者不需要任何安全認(rèn)證，而直接對(duì)CPE設(shè)備狀態(tài)進(jìn)行重新配置，并進(jìn)行更多的惡意操作，比如：

1.創(chuàng)建新的防火墻或端口映射規(guī)則（訪問內(nèi)部網(wǎng)絡(luò)…或Telnet /設(shè)備上的SSH /管理員界面等）；

2.獲取WPA密碼、無線MAC地址、無線SSID信息等；

3.更改CPE設(shè)備的DNS服務(wù)配置進(jìn)行欺騙攻擊；

4.更改CPE設(shè)備的ACS配置服務(wù)信息。

SetNTPServers 命令注入漏洞

kenzo2017分析的愛爾蘭寬帶路由器SetNTPServers命令注入就是很好的例子，當(dāng)向SOAP終端設(shè)備發(fā)送特定的SetNTPServers 命令，讓設(shè)備設(shè)置不同的NTPServer值，如NewNTPServer1、NewNTPServer2…，同時(shí)注入漏洞攻擊代碼，CPE設(shè)備將會(huì)以root（管理員）權(quán)限執(zhí)行命令。

目前，Mirai等多個(gè)僵尸網(wǎng)絡(luò)惡意軟件通過此漏洞進(jìn)行傳播感染，CPE設(shè)備被植入攻擊之后，惡意軟件就會(huì)關(guān)閉TR-069端口7547防止重復(fù)感染，同時(shí)阻止ISP提供商的遠(yuǎn)程接入。即使CPE設(shè)備重啟，漏洞和惡意軟件也將持久駐留。這種蠕蟲僵尸網(wǎng)絡(luò)的傳播將會(huì)對(duì)全球ISP造成災(zāi)難性影響，目前，受影響的ISP有：德國(guó)電信Telekom、英國(guó)Kcom電信、英國(guó)TalkTalk電信、英國(guó)Post Office Broadband以及愛爾蘭電信Eir等。另外，據(jù)我們研究發(fā)現(xiàn)，Demon Internet、Plusnet、愛爾蘭Vodafone、巴西VEVO等大型ISP的CPE設(shè)備也存在類似漏洞隱患。雖然德國(guó)電信斷網(wǎng)事件中發(fā)現(xiàn)了將近一百萬存在隱患的網(wǎng)絡(luò)設(shè)備，但據(jù)我們分析，全球?qū)⒔?000萬設(shè)備存在類似隱患的終端設(shè)備。

補(bǔ)丁更新與botnet感染之間存在的競(jìng)態(tài)條件

惡意軟件感染了CPE設(shè)備之后，將會(huì)及時(shí)關(guān)閉TR-064和TR-069的接入端口，使得ISP提供商無法在線進(jìn)行固件更新，即使重啟之后，惡意軟件還會(huì)立即重新植入，整個(gè)被感染設(shè)備成為一個(gè)閉合狀態(tài)。

因此，當(dāng)設(shè)備重啟之后，ISP的補(bǔ)丁更新和惡意軟件的重新感染之間就形成了一個(gè)典型的“競(jìng)態(tài)條件”，在惡意軟件重新感染之前，ISP 的補(bǔ)丁更新必須完成，才能保證設(shè)備后期的安全。但在這場(chǎng)較量中，據(jù)我們監(jiān)測(cè)發(fā)現(xiàn)，大部分的蠕蟲僵尸網(wǎng)絡(luò)已經(jīng)把我們的ISP提供商打敗。

或許有些ISP提供商聲稱，他們可以進(jìn)行網(wǎng)絡(luò)過濾，但其實(shí)這種效果極不理想。

總結(jié)

從目前的隱患狀況來看，事態(tài)發(fā)展令人可怕。標(biāo)準(zhǔn)制訂缺陷、設(shè)備制造安全性不足、ISP提供商后期管理維護(hù)不力 等一系列系統(tǒng)性“失效”，最終導(dǎo)致的結(jié)果就是，讓我們普通終端用戶受到攻擊威脅，甚至由此造成更多損失。按目前這種情況來看，有以下幾點(diǎn)建議：

1.由于設(shè)備在生產(chǎn)制造時(shí)缺乏安全性設(shè)計(jì)，設(shè)備供應(yīng)商應(yīng)該承擔(dān)責(zé)任；

2.ISP提供商應(yīng)該從源頭上對(duì)傳播感染和攻擊進(jìn)行大力阻止和過濾；

3.在設(shè)備制造生產(chǎn)前，ISP提供商和設(shè)備供應(yīng)商應(yīng)該共同就安全問題進(jìn)行研究考慮；

4.當(dāng)涉及到安全問題時(shí)，應(yīng)該嚴(yán)格按照相關(guān)標(biāo)準(zhǔn)規(guī)定執(zhí)行；

5.攻擊者發(fā)現(xiàn)和利用漏洞的速度和程度遠(yuǎn)遠(yuǎn)超出我們的想像，ISP提供商和設(shè)備供應(yīng)商應(yīng)該加強(qiáng)補(bǔ)丁的開發(fā)、更新和研究工作。