浅析漏洞对Cisco RV320、RV325两款路由器的影响

一、概述

近日，安天微电子与嵌入式安全研发部（安天微嵌）对网络安全公司RedTeam Pentesting GmbH披露的编号为CVE-2019-1652和CVE-2019-1653的两个漏洞进行了详细分析和验证。该组漏洞主要对Cisco RV320和RV325两款双千兆WAN VPN路由器造成影响，两个漏洞结合利用可以达到允许未经身份授权的远程攻击者执行任意命令的目的。对此，安天微嵌分析小组验证了该漏洞的原理及POC，对该漏洞的影响范围进行了确认，并给出了相应的防护建议。

二、漏洞影响

Cisco RV320、RV325两款路由器支持通过局域网和远程连接访问WEB管理页面，开启服务后可通过互联网访问WEB管理页面。由于路由器的WEB管理页面能够完成路由器各项功能的可视化管理和配置，对设备具有较高的控制权，所以其与路由器设备本身的安全紧密相关。

经分析验证，此次被披露的两个漏洞分别是由于Cisco RV320、RV325路由器的WEB管理页面访问控制验证规则不完善 （CVE-2019-1653）和用户访问WEB管理页面时提供的输入凭证不当（CVE-2019-1652）造成的。

根据网络安全公司Bad packet公布的资料显示，其在全球范围内发现了9657台受CVE-2019-1652、CVE-2019-1653漏洞影响的Cisco路由器（6247台RV320和3410台RV325），其中大部分位于美国，中国大陆存在47台受到该漏洞影响的设备。同时他们的蜜罐系统捕获到了大量针对RV320和RV325路由器的扫描活动，这表明攻击者正在积极利用漏洞来劫持受影响的Cisco路由器。受漏洞影响的Cisco路由器全球分布情况如图2-1和表2-1所示。

三、漏洞原理

安天微嵌分析小组使用Cisco RV320 Gigabit Dual WAN VPN Router和DELL OPTIPLEX PC机作为验证环境。设备连接示意图如图3-1所示。将Cisco RV320路由器任意LAN口与DELL PC机网口直接相连，同时将Cisco RV320路由器和DELL PC机设置为同一个网段。

该漏洞POC文件将测试未经身份授权检索敏感信息漏洞 （CVE-2019-1653）和命令注入执行漏洞（CVE-2019-1652）代码整合在一起完成未经授权的远程代码执行操作。通过漏洞CVE-2019-1653完成路由器用户名、口令的捕获，随后结合CVE-2019-1652完成在Cisco RV320、RV325小型商用路由器上执行任意命令的目的。

安天微嵌分析小组在分析POC文件代码过程中发现，POC的执行过程可以分为两个部分，其中未经授权检索敏感信息漏洞相关的函数代码片段如图3-2；命令注入执行漏洞相关的函数代码片段如图3-3所示。

通过对图3-2、图3-3代码片段的分析，可以确定未经授权的远程代码执行漏洞的利用方式。该POC原理是未经身份授权的远程攻击者可以利用漏洞（CVE-2019-1653）从受影响的设备处获取敏感信息，该漏洞（CVE-2019-1653）是由于URL访问控制验证规则不完善造成的。远程攻击者可以利用这个漏洞，通过HTTP或HTTPS连接到受影响的设备，并请求特定的URL，让远程攻击者下载路由器配置或详细的登录信息。获得登录信息之后基于WEB管理界面发送恶意HTTP协议POST的方法，利用命令注入POST方法执行漏洞（CVE-2019-1652） 获得root用户权限，在受影响的设备上执行任意命令，该漏洞（CVE-2019-1652）是由于用户在使用POST方法提交参数时，规则验证不完善所造成的恶意命令执行漏洞。

四、POC执行验证

安天微嵌分析小组使用Cisco RV320设备搭建了验证环境，结合上述的分析过程对公开的POC进行了验证。

4.1 获取目标设备信息

该POC综合利用未经身份授权检索敏感信息漏洞 （CVE-2019-1653）和远程代码命令注入执行漏洞（CVE-2019-1652），通过POC的运行获取目标设备的用户名、用户登录口令的HASH值、加权值等信息。

通过获取目标设备的用户名、用户登录口令的HASH值、加权值，利用命令注入执行漏洞（CVE-2019-1652）启动Telnet服务，与被攻击设备连接并实现远程控制。

4.2 获取目标设备命令集

命令注入执行成功并获取root权限的当前目标设备命令集。如图4-1所示。

图4-1中在被攻击设备中显示出当前设备可用命令。设备命令中包含安装和登录、文件处理、系统管理、网络操作、系统安全、其它功能等命令集合。