查看原文
其他

最新发现:21个漏洞被证实影响超过86000台Sierra AirLink路由器

晶颜123 FreeBuf安全咨询 2024-01-02

作者 | 晶颜123

编 | 小王斯基

近日,Forescout Vedere Labs在OT/IoT路由器和开源软件组件中发现了21个新的漏洞,突出了关键基础设施中的新风险。这项新研究也证实了forescout Vedere Labs一直在追踪和分析的一些趋势:


  • 路由器和网络基础设施的漏洞(以及随之而来的攻击)正在上升。国家支持的行为者一直在开发定制恶意软件,利用路由器进行持久化和间谍活动,而网络犯罪分子则利用路由器作为常驻代理,并招募人员扩展僵尸网络。
  • OT/IoT设备中的漏洞通常来自设计缺陷(例如在OT:ICEFALL中看到的硬编码凭据和证书的使用)或解析格式错误输入时的问题(正如Project Memoria研究所展示的那样)。
  • 供应链组件(包括第三方提供的开源软件)可能会引入高风险并增加关键设备的攻击面,触发资产所有者可能难以跟踪和缓解的漏洞。

事实上,大多数组织都可以控制其IT网络的攻击面。然而,大量OT/ IoT设备扩展了不同部门组织的攻击面,并且没有得到相同程度的关注。通过这项研究,Forescout Vedere Labs旨在揭示与OT/ IoT设备相关的风险暴露面以及潜在的缓解技术。

 | 摘要 |


  • Forescout Vedere Labs发现了21个新的漏洞,这些漏洞影响了最流行的OT/IoT路由器之一,该路由器用于通过3G和4G等蜂窝连接将关键的本地网络连接到互联网。
  • 这些漏洞影响Sierra Wireless AirLink蜂窝路由器及其一些开源组件,如TinyXML和OpenNDS,这些组件正广泛用于各种其他产品。
  • 21个漏洞中,1个为严重级别,9个为高危级别,11个为中等级别。这些漏洞可能允许攻击者窃取凭据,通过注入恶意代码来控制路由器,在设备上持续存在,并将其用作进入关键网络的初始接入点。
  • 受影响的设备存在于多个关键基础设施领域,如制造业和医疗保健、政府和商业设施、能源和配电、交通、供水和废水系统、零售、应急服务和车辆跟踪。受影响的设备还可以用于远程视频监控或将警车连接到内部网络。
  • 超过86000个易受攻击的路由器暴露在网上。只有不到10%的暴露设备对已知漏洞进行了修补,这表明攻击面很大。90%的暴露特定管理接口(通过Telnet的AT命令)的设备已经达到使用寿命,这意味着它们无法进一步修补。
  • Sierra Wireless、OpenNDS和Nodogsplash的响应速度非常灵敏,相关漏洞已经被修补。TinyXML是一个废弃的项目,因此上游的漏洞不会被修复,必须在下游解决。除了打补丁之外,建议的缓解措施包括禁用WiFi专用门户,部署web应用程序防火墙和使用OT/ IoT感知入侵检测系统。

此次在广泛流行的设备软件组件上发现如此多的新漏洞表明,设备制造商以及资产所有者必须特别注意来自软件供应链的风险,包括开源和闭源组件。资产所有者最终可能会因其网络上不安全的设备而受到攻击,目前,他们必须依赖设备制造商充分解决供应链漏洞,或者实施自己的风险缓解策略,而不是完全依赖于补丁。

前一种选择是有风险的,因为正如Project Memoria项目(物联网安全公司Forescout联合其他企业进行的项目,旨在研究物联网设备的脆弱性)所证实的那样,遗留软件组件使互联世界成为可能,而将漏洞通知给庞大的各方是困难的。供应商或维护人员往往反应迟钝,这意味着跨多个行业的组织可能在很长一段时间内仍然脆弱。后一种选择——风险缓解——适用范围更广,可以针对关键设备中的新旧漏洞形成更好的整体安全态势。

 | 研究对象:Sierra无线路由器 |


OT/IoT蜂窝路由器将关键设备连接到互联网进行监视和控制,例如变电站、油气田、远程医疗场所、智能城市等设备。图1中显示了两个示例应用程序,在顶部有一个系统,其中Axis IP摄像机连接到SierraWireless AirLink LX40蜂窝路由器,用于远程视频监控的流视频;在底部有一个系统,其中Sierra Wireless AirLink MP70用于将警车与几个内部设备连接到中央网络管理系统。供应商网站上提到的其他用例包括制造业中的工业资产监控、临时医疗设施的连接以及电动汽车充电站的管理。


图1:OT/IoT蜂窝路由器的两个应用示例。在顶层,连接到SierraWireless LX40路由器的Axis IP摄像机用于远程视频监控。在底层,警车中的几个设备通过Sierra Wireless MP70连接到网络管理系统

Sierra Wireless可以说是最受欢迎的OT/IoT蜂窝路由器品牌。其他流行的供应商包括deteltonika、InHand和MOXA。一个开放的WiFi网络数据库WiGLE.net显示,全球有24.5万个网络在运行Sierra Wireless,18.4万个网络在运行Teltonika,1.3万个网络在运行InHand。Sierra Wireless设备也是Shodan上最受欢迎的设备。这些数字还只是全球使用的此类设备总数的一小部分。例如,一些Sierra Wireless设备的MAC接口来自其他供应商——比如Universal Global Scientific Industrial——而且很多设备并没有运行WiFi网络。

大多数Sierra Wireless AirLink路由器都带有AirLink企业操作系统(ALEOS),这是一套建立在嵌入式Linux发行版之上的专有服务、组件和应用程序。目前有三个主要版本的ALEOS:4.4. x、4.9. x以及4.x. 0。它们每个都支持不同的设备系列。一些使用4.4. x的设备分支在2021年左右被宣布生命终止(EOL)。因此,最新的可用版本(4.4.9)也在那段时间停止接收安全补丁。

这些设备中的漏洞可能允许直接访问关键资产,这也使其成为近年来安全研究的主题。自2019年以来,有36个漏洞影响了Sierra Wireless AirLink设备,如表1所示。

披露方/时间
受影响版本
受影响组件
漏洞数量
Cisco Talos/2019
4.4.9、4.9.4或4.12.0之前的ALEOS版本
ACEmanager、snmpd
13
Customer reports/2019
4.4.9、4.9.5或4.12.0之前的ALEOS版本
SSH service
1
Internal testing/2020
4.4.9、4.9.5或4.13.0之前的ALEOS版本
ACEmanager、LAN-side RPC
Server、ALEOS AT command
Interface、ALEOS SMS handler、ALEOS ACEView service
11
IOactive/2020
4.4.9、4.9.5或4.14.0之前的ALEOS版本
UpdateRebootMgr service、
LAN-side RPC server
2
Internal testing/2021
ALEOS 4.4.9及更早版本,4.9.6或4.15.0之前的ALEOS版本
ACEmanager、ALEOS AT
command interface、ALEOS SMS handler
7
OTORIO/2022
ALEOS 4.4.9及更早版本(EOL),4.9.8或4.16.0之前ALEOS版本
ACEmanager
2
表1 :Sierra Wireless设备过去的漏洞披露结果/受影响年份和受影响版本

尽管已经有了这些先前的发现,我们的研究结果表明,针对这些设备不同软件组件的更深入分析仍然可以产生新的、关键的发现。

 | 主要发现 |



分析组件


ALEOS是一个大型框架,这就迫使研究人员优先考虑可能产生更多漏洞的分析组件。最终,研究分析了以下组件:


  • ACEmanager:Sierra Wireless开发的一个web应用程序,用于配置和监控无线路由器的状态。
  • rp-pppoe:Linux上的点对点以太网协议(PPPoE)的开源实现。
  • OpenNDS:当通过ACEmanager配置“简单强制门户”(Simple Captive Portal)时,ALEOS中使用的开源专属门户。
  • TinyXML:一个开源的最小XML文档解析器,其源代码包含在ACEmanager使用的一个库中。
  • Libmicrohttpd:一个用于构建OpenNDS使用的简单HTTP服务器的小型库,研究只分析了与OpenNDS相关的部分。


新型漏洞


研究发现了21个新的漏洞,它们可以分为以下5类:

  • 远程代码执行(RCE)漏洞,允许攻击者通过注入恶意代码完全控制设备。
  • 跨站点脚本(XSS)漏洞,可能被用于向浏览ACEmanager应用程序的客户端上注入恶意代码,从而潜在地窃取凭证。
  • 拒绝服务(DoS)漏洞,可能被用于崩溃ACEmanager,以实现简单的破坏或更复杂的多阶段攻击。
  • 通过设计缺陷(如硬编码凭据、私钥和证书)进行未经授权的访问,可用于执行中间人攻击或被有能力的攻击者用于恢复密码。
  • 认证绕过,允许攻击者跳过强制门户服务的认证服务,直接连接到受保护的WiFi网络。

表2(ALEOS)和表3(OpenNDS)对新增漏洞进行了总结。其中有一个漏洞之所以有两个CVE ID,是因为它独立影响TinyXML(CVE-2023-34194),并被ACEmanager(CVE-2023-40462)使用。这是因为TinyXML通常不是作为库分发的,而是直接集成在代码库中。

当启用“简单强制门户”时,可以在ALEOS中标记为“真”(TRUE)的漏洞。攻击者必须能够与运行在ALEOS上的强制门户进行交互,这意味着他们需要在由门户保护的WiFi网络范围内,或者妥协可以连接到该网络的另一个设备。标记为“假”(FALSE)的问题不能在ALEOS中触发,因为OpenNDS的配置文件不暴露给用户。尽管它们可能在其他设备中被利用。

研究并未发现任何影响ALEOS AT命令接口、rp- poe或libmicrohttpd的新问题。

CVE ID
描述
CVSS V3.1评分
影响
CVE-2023-40458
在解析某些格式错误的XML文档时,ACEmanager有一个无限循环。触发该错误会导致DoS,进而无法访问ACEmanager。为了恢复可用性,需要手动重启受影响的设备。攻击者不需要通过身份验证就可以利用该漏洞。
7.5
DoS
CVE-2023-40459
当对用户进行身份验证时,如果ACEmanager收到一个带有空<密码>标记的XML文档时,它会因NULL-pointer dereference而崩溃。这将导致有限数量的DoS,因为ACEmanager会自动重启。攻击者可以通过反复发送格式错误的XML文档来延长DoS时间。攻击者不需要通过身份验证就可以利用该漏洞。
7.5
DoS
CVE-2023-40460
由于文件路径和内容验证不正确,攻击者可以在ACEmanager中上传HTML文档,替换合法的web页面。这可能导致各种各样的问题,从破坏ACEmanager到通过存储的XSS部署恶意内容。该问题是作为对CVE-2018-4063的不完整修复而引入的。
7.1
XSS
CVE-2023-40461
ACEmanager允许通过认证的用户在配置VPN隧道时上传客户端证书和客户端TLS密钥。对正在加载的证书/密钥的名称验证不足会导致JavaScript代码的注入。
8.1
XSS
CVE-2023-34194
(TinyXML)
 
CVE-2023-40462
(ACEmanager)
ACEmanager依赖于TinyXML,它包含一个可达断言,在解析某些格式错误的XML文档时用于终止应用程序。这将导致有限数量的DoS,因为ACEmanager会自动重启。攻击者可以通过反复发送格式错误的XML文档来延长DoS时间。作为攻击的副作用,所有登录的用户将注销。攻击者不需要通过身份验证就可以利用该漏洞。
7.5
DoS
CVE-2023-40463
ALEOS包含为技术支持专家在设备上启用诊断根shell访问的功能。根密码的哈希值是硬编码的。攻击者可能能够恢复密码并在启用了诊断根shell访问的设备上实现根访问。
8.1
未经授权访问
CVE-2023-40464
ALEOS的几个版本都附带了默认的SSL私钥和ACEmanager证书,同时提醒用户生成新的证书。获得这些构件可能使攻击者能够模拟依赖于默认SSL密钥和证书的合法ACEmanager应用程序,并嗅探/欺骗ACEmanager应用程序与其客户端之间的加密流量。
8.1
未经授权访问
表2:ALEOS中的新漏洞

 | 攻击场景 |


在本节中,我们将讨论影响ALEOS及其组件的新漏洞的一些可能的攻击场景。重点聚焦在最常部署Sierra无线路由器的两个行业:医疗保健和制造业。


攻击概述


下面的攻击场景说明了攻击者如何利用一些新的漏洞来完全控制OT/IoT路由器,并实现不同的目标,如网络中断、间谍活动、横向移动和进一步的恶意软件部署。在场景1中,攻击者利用强制门户漏洞控制医疗机构中的路由器,并攻击患者、访客或员工的设备。在场景2中,攻击者利用硬编码凭证控制制造工厂的路由器并攻击工业设备。


图5:场景1,医疗保健中的强制门户漏洞

对于图5所示的医疗保健场景,攻击者希望渗透到临时医疗保健设施的网络中,以实现多个可能的最终目标。例如,攻击者可能希望通过拒绝访问预约、患者记录、测试结果和其他信息来阻止适当和及时的护理,或者进一步感染工作人员和患者的设备。在这种场景下,Sierra Wireless AirLink路由器被用于在设施内部提供有线和WiFi连接,以及带有可被附近攻击者访问的专用门户的访客WiFi网络。

在步骤1中,攻击者可以利用CVE-2023-41101影响强制门户,这使他们能够完全控制路由器。然后,在步骤2中,攻击者可以破坏设备本身,导致持久的网络中断,或者更微妙地说,破坏网络上特定设备的连接。此外,攻击者可能会利用CVE-2023-40458并关闭ACEmanager,以防止系统管理员在检测到利用尝试时采取纠正措施。设备必须手动重新启动,这在某些环境中可能很困难。由于攻击者完全控制了路由器,其他类型的攻击(如更改DNS服务器设置和使用路由器在本地分发恶意软件)也是可能的,从而感染连接到受影响的WiFi网络的员工和访客的设备。攻击者还可以横向移动到相邻的网络中,在IT工作站上部署勒索软件或泄露患者记录。一个有趣的替代方案是加密路由器上的文件,使其无法使用,这是黑客分子以前使用的一种嵌入式勒索软件。

图6:场景2,制造中的硬编码凭证漏洞

对于制造场景,如图6所示,更复杂的攻击者的目标是获得进入制造工厂的初始访问权限,以进行工业间谍活动或进行网络物理破坏。在这种场景中,Sierra无线路由器被用于将工厂内的一系列工业资产(如plc,服务器,工程工作站等)连接到互联网进行远程监控和控制。

在步骤1中,攻击者购买与工厂使用的路由器相似的路由器。他们找到用于访问诊断shell (CVE-2023-40463)的根密码的硬编码散列,并通过破解MD5或SHA-512散列(很复杂,但并非不可能)获得该密码的明文版本。在步骤2中,攻击者通过冒充技术支持专家来利用社会工程,迫使工厂员工启用诊断shell访问。攻击者通过诊断根shell(步骤3)连接并在设备上建立持久性,例如通过加载一个RAT模块。在建立初始访问并获得持久性之后,攻击者可能会使用OT:ICEFALL等漏洞影响联网OT资产。

此外,由于OT和IoT如今正被黑客分子和犯罪分子积极利用,因此OT/IoT路由器可能成为不那么复杂的攻击目标。影响ACEmanager的DoS和XSS漏洞可能被用于破坏和阻止对漏洞路由器的维护和纠正操作,这两种类型的影响在最近的黑客活动中已经被观察到。虽然我们发现的与网络相关的漏洞需要身份验证,但弱凭据或使用默认SSL证书可能使攻击者能够有效地利用它们。

除了人类攻击者之外,僵尸网络创建者也可以利用ALEOS中的漏洞。例如,可以自动收集被盗的凭据,类似于RapperBot跟踪受损的SSH服务器的方式。然后,这些凭据可用于利用操作系统命令执行漏洞进行自动传播,与命令和控制服务器通信,以及执行DoS攻击,就像各种Mirai变体对许多受损的物联网设备所做的那样。事实上,以前的僵尸网络(如IoTroop/Reaper)就曾通过默认凭据和零日漏洞攻击暴露的Sierra无线路由器。


 | 缓解建议 |


针对新漏洞的完整保护需要给运行受影响软件的设备打补丁。OpenNDS项目已经发布了OpenNDS 10.1.3,其中包含对所有报告漏洞的修复,而Nodogsplash项目也已经发布了Nodogsplash 5.0.2,其中包含对CVE-2023- 41101的修复。TinyXML是一个废弃的开源项目,因此上游的漏洞不会被修复,必须由受影响的供应商解决下游的问题。


Sierra Wireless发布了以下ALEOS版本来解决这些新漏洞:

  • ALEOS 4.17.0包含所有相关漏洞的修复。
  • ALEOS 4.9.9包含适用的修复,除了OpeNDS问题,因为该版本不包括OpenNDS。

除了打补丁,用户还可以采取以下措施:

  • 更改Sierra Wireless路由器和网络中依赖默认证书的任何其他设备的默认SSL证书。
  • 如果不需要,禁用强制门户和其他服务,如Telnet和SSH。或者,在需要时限制对这些服务的访问。
  • 考虑在OT/IoT路由器前部署web应用程序防火墙,以防止利用基于web的漏洞,例如本研究中发现的许多XSS,命令注入和DoS漏洞。
  • 部署支持OT/ iot的入侵检测系统,监控外部网络与路由器之间的连接,以及路由器与路由器后置设备之间的连接。这有助于检测利用路由器进行初始访问的迹象,以及攻击者使用路由器进一步利用关键设备的迹象。

对于Sierra Wireless产品以前的漏洞,供应商和CISA建议如下,这也适用于新的漏洞:

  • 始终为设备使用强大的、唯一的和随机的凭据。如果启用了Telnet或SSH,请确保为控制台账户设置了强密码。
  • 在广域网(WAN)上禁用对ACEManager的访问,并使用Sierra Wireless AirlinkManagement System(ALMS)或其他设备管理平台来远程管理Aleos设备。
  • 如果ACEManager必须通过WAN保持可访问性,请使用private APN, VPN或ALEOS可信IP功能(限制对特定主机的访问)等措施来限制访问。
  • 与ACEManager对接时,只能使用HTTPS协议。
  • 定位路由器背后的控制系统网络和远程设备,并将它们与业务网络隔离。

 | 结语和教训 |


至少自2020年以来,网络基础设施漏洞一直是最容易被利用的漏洞之一。尽管大多数利用这些漏洞的攻击都是针对IT网络和设备的,但OT/IoT网络边界对攻击者来说很有吸引力,并且存在严重漏洞。


事实上,OT/IoT的边界可能比人们普遍认为的还要脆弱。IT和OT系统之间的连接受到了很多关注。然而,使用无线电和蜂窝网络的连接在安全社区中受到的关注较少,但可能为攻击者提供直接访问关键资产的机会。

在这项研究中,我们分析了最流行的OT/IoT蜂窝路由器系列,发现了21个新的漏洞(其中15个直接影响所分析的路由器),并讨论了它们在医疗保健和制造业等关键行业的影响和潜在攻击场景。

从这项研究中获得的一些经验教训包括:

  • 这些设备不仅存在严重漏洞,而且往往没有打补丁。在Shodan上看到的路由器中,只有不到10%的路由器可以针对以前的漏洞进行修补。尽管在底层OT资产中存在未修补的漏洞并不令人惊讶,但考虑到修补这些漏洞的困难,边缘OT/IoT设备中的关键漏洞可能会将关键基础设施的机密暴露给攻击者。
  • 嵌入式设备仍然缺乏漏洞缓解措施。现实情况是,嵌入式设备在解决简单漏洞和减轻这些漏洞的影响方面仍然落后于IT。
  • 除了设计缺陷和解析问题导致的漏洞,我们继续看到不完整的修复产生的新问题。在本研究中,我们再次注意到一个新的漏洞(CVE-2023-40460)源于针对CVE-2018-4063不完整的修复。正如我们之前所讨论的,设备供应商必须在共享的概念证明之外解决报告的漏洞,并了解实际的根本原因。这将有助于他们解决问题并防止问题再次发生。

最后,在研究设备的特定软件组件时发现了如此多的新漏洞,这一现象强化了这样一个事实,即设备制造商以及资产所有者必须特别关注源自软件供应链的风险。在这项研究中发现的两个易受攻击的开源组件突出了其中的一些风险:

  • TinyXML是一个废弃但很受欢迎的项目。TinyXML已经有近十年没有维护了。在此研究之前,该项目已经存在一个没有已知修复的公共漏洞(CVE-2021-42260),现在又发现了两个新问题,同样无法修复。使用OSINT工具,我们能够识别出30多种仍在使用TinyXML的不同产品。其中大多数是其他开源项目或安全软件,但也有一些汽车信息娱乐系统,楼宇自动化设备和其他物联网。很难知道这些产品是否以及如何容易受到攻击,因为攻击者并不总是可以直接访问XML解析。然而,废弃项目的激增引发了设备供应商如何应对新漏洞的问题。
  • OpenNDS维护良好,但版本控制和分支使得漏洞难以消除。我们在OpenNDS上发现了比TinyXML更多的漏洞。其中五个问题已在版本 x中得到了修复,但它们仍然影响版本9.x,而该版本已经终止服务,不会收到任何新的安全修复。

此外,识别运行这些软件包的设备的困难性再次凸显了对OT/IoT设备的软件材料清单(SBOMS)的需求,它可以使供应商和资产所有者更轻松地了解他们的哪些设备更易受到新漏洞的影响。

精彩推荐


继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存