全天候报道跟踪国内外最新动态,为用户提供最全面的新闻资讯,是国内最具权威的新闻门户网。
分享到:
您的位置:首页 > IT > 正文

D-Link DIR-850L路由器存在漏洞,可绕过加密

2018/12/09 07:59:12 来源: 黑客与极客
D-Link DIR-850L路由器存在漏洞,可绕过加密

前言

作为Defensics SafeGuard开发的一部分,我们发现了D-Link DIR-850L无线AC路由器(硬件修订版本A)中的漏洞。说明gao-xiao.com该漏洞使攻击者无需提供凭据即可完全访问无线网络。我们的方法在接入点连接期间跳过关键步骤,完全绕过加密。

在确定此漏洞后,新思科技继续与芬兰国家网络安全中心(NCSC-FI)协调披露事宜,编号为CVE-2018-18907。我们与D-Link合作重现了这个漏洞问题。在2018年11月6日,D-Link已经为受影响的设备提供了修复方案。

概述

WPA2是用于客户端和接入点(AP)之间的WLAN网络通信的加密技术。为了相互连接,AP和客户端都需要知道预共享密钥(PSK),它们在WPA握手过程中交换,随后在它们之间打开加密通道。来自gao-xiao.com

通常,破坏WPA2加密需要在AP和客户端(也称为请求者)上执行无线捕获,其中握手过程完全可见,或者仅从AP获取对偶主密钥标识符(PMKID)。完成此操作后,您将获得强制WPA2 PSK所需的所有信息。获取PSK所需的时间取决于硬件和PSK长度。但有时候通过WPA2加密需要一点运气,这往往不到一秒钟。

办公室日常工作

2018年8月初,我正在为新思科技的Defensics解决方案完成新版本的测试套件,该解决方案为各种协议提供模糊测试。模糊测试是一种测试方法,测试工具发送格式错误的输入以发现软件中潜在的安全漏洞。这种包含意外或无效数据的格式错误的输入称为异常测试用例。高效新闻网

我最后添加到测试套件中的信息包括一些新的异常测试用例和 SafeGuard 结果。 SafeGuard 是一项专利功能,允许 Defensics 识别违反规范或最佳实践的情况 —— 例如,当被测系统( SUT )选择弱加密方案时,或者以明文形式发送身份验证凭据时。

SafeGuard 与模糊测试有何不同?

新版本的 Defensics 802.11 测试套件包含两项重要改进。

第一, WPA2 握手后数据帧的 WPA2 加密。之前的版本仅计算会话的临时密钥,而且可以将此信息写入文件。这允许测试人员验证 Defensics 和 SUT 都具有相同的临时密钥。但是发送加密数据帧会自动测试正确的密钥,因为两端的加密和解密需要知道密钥。版权gao-xiao.com

第二个改进是在 IPv4 上简单的动态主机设置协议 (DHCP) 发现报文序列。此 DHCP 序列验证 SUT 是否接收数据帧并检查响应。由于 DHCP 本身非常复杂,我首先在没有加密的情况下实现它,并且在 DHCP 序列工作之后,在测试中添加了 WPA2 AES CCMP 加密。

测试&发现

我当时正在为 WPA1 添加一个弱加密 SafeGuard ,因为已知 WPA1 有弱点而且不应该使用。 WEP 加密也是如此:它不应该再被使用了。 Defensics 802.11 测试套件那时具有弱加密检测功能,我运行了几个案例来测试它,正巧我桌面上有 AP ,即 D-Link DIR-850L 。我以为会检测到弱加密,因为我已经将 SUT AP 配置为拥有 WPA1 而没有其它任何设置。原文http://www.gao-xiao.com/

正如我所预测的一样, Defensics 正确地检测到弱加密。但是 AP 接受了没有 WPA 加密的 DHCP 发现序列。此特定测试用例本应经过协商以使用 WPA1 加密,但它不包含实际加密: DHCP 发现序列以明文形式发送给 AP 。我对此测试结果感到惊讶,因为路由器应该需要 WPA1 加密。然后我使用 Wireshark ,一种捕获无线数据帧的工具,重新运行测试用例并检查结果。

在结果中,我看到了 AP 给 Defensics 提供的 IP 地址、路由器 IP 地址、租用时间等。发现序列再次以明文发送。阅读gao-xiao.com然后我将加密从 WPA1 更改为 WPA2 ,看看是否会对 SUT 行为产生影响。同样,发现序列仍以明文形式发送,因此这出现了问题。 AP 还支持 WPA Enterprise ,并且在该模式下的测试没有改变行为 – 序列仍以明文形式发送。

分析

当然,下一个问题是发生了什么,为什么呢?连接到 AP 分两个阶段完成。首先,客户端和 AP 就连接参数和要使用的加密达成一致;其次,执行所谓的 WPA 握手或四次握手,交换加密参数并确保它们都具有 PSK 。在此之后,他们打开加密数据连接。但是,我运行的测试用例跳过了 WPA 握手,因此必须在握手之前发生什么, AP 和客户端就连接参数和使用的加密达成一致。

第一阶段包括探测请求和响应、身份验证请求和响应,最后是关联请求和响应。探测请求的主要目的只是发现 AP 。然后,探测响应包含有关 AP 的所有信息,包括支持哪种加密。

下一个请求 – 响应对是身份验证,其目的是确保向后兼容性。接下来是关联请求和响应。在关联请求中,客户端告诉 AP 哪个是它想要的加密以及使用哪些参数。关联请求还会打开 AP 和客户端之间的数据连接。

我运行的测试用例有一个正常的探测请求和身份验证请求。然后,关联请求需要客户端支持 WPA1 加密。此时, WPA 握手应该发生,但由于我的测试用例跳过了握手, AP 和客户端开始发送没有任何加密的数据帧。

漏洞利用

从没有凭据的受保护网络获取 IP 地址已经是件坏事,但是还会更糟糕吗?我决定为此漏洞创建漏洞利用程序。我的想法是创建一个自定义版本的 wpa_supplicant ( Linux 操作系统中的默认 WLAN 客户端)。

首先,我尝试修改 wpa_supplicant ,以便它只是忽略 WPA 握手,但事实证明这非常困难。检查太多,无法确保 WPA 状态机处于正确状态。这证实我试图做的事情并不常见。我尝试的下一件事是在没有加密的情况下建立连接,但修改包含加密参数的关联消息。这与 Defensics 测试套件在测试用例中所做的一样。我只需要删除一些未经协商的加密参数检查,就可以建立连接。

对 Defensics 智能模糊测试有疑问?

我有一个wpa_supplicant的修改版本,它提供了网络接口上的完整Linux IP堆栈。首先,我尝试连接到AP管理面板。虽然连接了,但是我注意到在路由器接到流氓客户端之前,路由器接受了普通数据帧时,有三到六秒的窗口。然而,wpa_supplicant自动重新连接,我的开发继续进行。实际上,重新连接速度非常快,即使传输控制协议(TCP)连接仍保持打开状态。

此外,我还连接了另外两台设备,一台是有线的,一台是通过WLAN连接的。从流氓客户端,我可以毫无费劲地连接两个设备。从路由器管理面板,我看到恶意客户端被识别为连接到路由器的任何其它客户端。因此,利用此漏洞,我可以在不知道预共享密钥的情况下完全访问网络。我不需要做任何耗时的暴力破解 – 我只是连接到网络。

总结

Defensics 802.11测试套件现在可以识别绕过整个WPA加密机制的情况。测试套件现在包含一个单独的SafeGuard功能来测试此漏洞,如果它检测到WPA加密被绕过,则测试将显示失败。因此,针对其AP运行Defensics模糊测试的供应商将意识到此漏洞。测试的D-Link设备是随机选择的,D-Link已经发布了该设备的补丁。

*本文作者:SIGChina,转载请注明来自FreeBuf.COM


网 址:http://www.gao-xiao.com/html/24671672.html
首 发:D-Link DIR-850L路由器存在漏洞,可绕过加密
  • 小米史上最长发布会,正面硬刚华为苹果

    来看看男主播的现场体验视频吧:男主播已经按时到达现场啦,这次依旧还是人山人海。雷军在万众期待中上台,开始了今天的发布会。三个月之前发布了红米Note7,首战告捷,小米会专注在创新和极致体验上。但是不放弃性价比,永远不会,这就是小米的价值观。今天的小米9就是小米品牌的第一款旗舰产品,过去一星期,雷军办了一星期的微博发布会。今天要说的是小米9的体验,首先来看一个小东西,就是战斗天使。希望像阿丽塔一样,长得好看,超级能打。光线从机身流过的时候会展示出非常独特的彩虹光影效果,这叫做全息幻彩色。既有玻璃的

  • 没有创业心态,再努力都是打工

    内容来源:本文经插坐学院(ID:chazuomba)授权发布,转载请联系原作者。封图设计&责编小树思维方式·心态本文优质度:★★★★★+口感:抹茶蛋糕笔记君邀您,阅读前先思考:打工为什么还要有创业心态?创业心态要怎么修炼?解释原因和解决问题有什么不一样?猎豹移动CEO傅盛说,打工得有创业的心态,不然浪费的是自己。很多年前,这种话我觉得就是狗屁。和大多数年轻人一样,我信奉的是“给多少钱,干多少活”。不知道:其实每个人的处境,并不受制于钱,而是受制于观念。你看,年轻也不总是好事。好在我慢慢醒悟过来,

  • zdy4000液压钻机专用PVH074+ADU041串联泵参数特点

    vickers威格士PVH074+ADU041串联柱塞泵具有排量大、使用寿命长、低噪声等特点,非常适用于zdy4000液压钻机,大大提升煤矿坑道开采效率。PVH074系列柱塞泵的优点:1、包括单个泵、通轴布置以及多种驱动轴和控制选项的多用途设计,可适用于任何应用,并可提供zui经济安全的安装。2、可靠的重型设计组件,外壳紧凑,可提供250bar(3625psi)连续操作性能,以及在负载传感系统中280bar(4050psi)的操作性能。此设计确保了在现代功率密集机械要求的更高性能级别下的长寿命。

  • 专访云启资本创始合伙人黄榆镔:帮民企从“工业1.5”到“工业4.0” 模式要行得通成本也要收得回

    本报记者张涵北京报道随着O2O等市场驱动类项目风口退潮,AI、大数据、云计算等B端科技成为资本新宠。而早在4年前,云启资本就将聚焦于“工业4.0和产业升级”,更一度被评为最懂技术的新兴精品VC。成立之初,云启资本就以精确命中全国最大全产业链钢铁企业找钢网声名鹊起,此后又一举投资了油气交易平台找油网、工业品分销平台工品汇、医疗器械出海S2B2C平台联医医疗等平台,成为投资产业互联网最早的一块名牌。在产业升级领域,云启资本首先盯上最困难的“基础设施”类:做大数据科技的云英、混合云管理解决方案提供商骞

  • 三星Galaxy S10系列亮相

    IT之家2月21日消息在介绍完三星GalaxyFold可折叠屏手机后,三星将视线聚焦在了三星GalaxyS10系列上。三星GalaxyS10系列将搭载DynamicAMOLED屏,支持HDR10+。三星GalaxyS10系列采用了打孔式显示屏。三星称制造了专有的激光切割机,可将摄像头组件放入S10的显示屏中。屏幕素质方面,三星表示这块InfinityO-Display屏幕是世界首款DynamicAMOLED屏幕,1600万色,100%色彩,是移动设备上有史以来最精确的彩色显示屏,还支持HDR10

  • 探访全球首座启动5G网路火车站——上海虹桥火车站

    日前,采用5G室内数字系统建设的全球首个5G火车站建设启动仪式在上海虹桥火车站举行。据悉,虹桥火车站计划在今年内完成5G网络深度覆盖。届时广大旅客将享受到高速、便捷的各类5G网络服务。王亚东/人民图片

  • 赵晓光:在科技行业我们看到一个非常好的机会

    e公司讯,天风证券2019新春策略会暨可转债交流大会中,天风证券副总裁赵晓光认为,在科技行业我们看到一个非常好的机会,由5G+物联网+人工智能形成的工具性技术创新的组合。5G是这个楼的一层,是通信的基础架构,物联网是挖掘数据的来源,是这个楼的二层,人工智能是处理数据的,是第三层。这三个技术组合起来和各行业的结合,各行业作为工具性的组合技术创新帮助传统行业提升生产力,创新生产关系。

  • 你用光子给自己“美图” 科学家用缪子“透视”庞然大物

    生活中的拍照更完整的说法或许是:让光子的轨迹投射出人或美景的影像。不止光子,利用电子、正电子、质子等各种粒子的成像技术是人们“定格”的常用方法,经常被用来反应微观、宏观、致密、疏松等不同特点的世界。《自然》网站最近登载了一种全新的粒子成像方法。这篇题为《鲜为人知粒子探测致密物质》的报道,介绍了借用缪子的探测方法,这与拍照借用光子成像类似。科学家们利用缪子给埃及金字塔、核废料等之前难以探明内里的物体“摸骨”,可以做到入木三分、直击致密材质的深层。“和其他粒子比较起来,缪子的穿透能力很强,可以穿透上