【漏洞通告】D-Link VPN路由器多个命令注入漏洞
发布时间 2020-12-100x00 漏洞概述
产品名称 | CVE ID | 类 型 | 漏洞等级 | 远程利用 |
D-Link VPN路由器 | CVE-2020-25757 | 命令注入 | 高危 | 是 |
CVE-2020-25758 | crontab注入 | 高危 | 是 | |
CVE-2020-25759 | 命令注入 | 高危 | 是 |
0x01 漏洞详情
2020年12月09日,D-Link VPN路由器被披露多个0 day漏洞(CVE-2020-25757、CVE-2020-25758、CVE-2020-25759)。可以访问“ Unified Services Router” Web界面的攻击者可以利用这些漏洞发起恶意请求来注入命令,或添加Cron任务来执行任意命令,这些恶意命令将以root权限执行,最终可以控制整个设备。漏洞细节如下:
D-Link VPN路由器未经身份验证的命令注入漏洞(CVE-2020-25757)
lua-cgi操作无需身份验证即可访问,其执行lua库函数时,该函数将用户提供的数据传递给对os.popen()的调用,作为计算哈希的命令的一部分:/platform.cgi?action=duaAuth,/platform.cgi?action=duaLogout。
D-Link VPN路由器经过认证的Crontab注入漏洞(CVE-2020-25758)
由于在上传时可以轻松绕过对配置文件进行身份验证的机制,攻击者可以利用此漏洞创建恶意配置文件,并添加新的cron(计划任务)条目,并以root身份执行任意命令。
D-Link VPN路由器经过认证的命令注入漏洞(CVE-2020-25759)
Lua-CGI处理来自“Unified Services Router”web界面中“Package Management”表单的请求时,对传递给OS的多个带POST参数的Payload没有在服务器端过滤。攻击者可以使用execute()函数将上传的文件移动到另一个目录。
截止目前,通过zoomeye搜索发现,中国有5637402个D-Link VPN设备。
影响范围:
运行固件v3.17及之前版本的:DSR-150、DSR-250、DSR-500、DSR-1000AC
0x02 处置建议
目前D-Link正在开发相关补丁程序,官方固件版本预计在12月中旬发布。
下载链接:
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10195
0x03 参考链接
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10195
https://www.digitaldefense.com/resources/vulnerability-research/d-link-vpn-router/
https://threatpost.com/d-link-routers-zero-day-flaws/162064/
0x04 时间线
2020-12-09 Digital Defense披露漏洞
2020-12-10 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号