全天候报道跟踪国内外最新动态,为用户提供最全面的新闻资讯,是国内最具权威的新闻门户网。
分享到:
您的位置:首页 > IT > 正文

D-Link DIR-850L路由器存在漏洞,可绕过加密

2018/12/09 07:59:12 来源: 黑客与极客
D-Link DIR-850L路由器存在漏洞,可绕过加密

前言

作为Defensics SafeGuard开发的一部分,我们发现了D-Link DIR-850L无线AC路由器(硬件修订版本A)中的漏洞。说明http://www.gao-xiao.com/该漏洞使攻击者无需提供凭据即可完全访问无线网络。我们的方法在接入点连接期间跳过关键步骤,完全绕过加密。

在确定此漏洞后,新思科技继续与芬兰国家网络安全中心(NCSC-FI)协调披露事宜,编号为CVE-2018-18907。我们与D-Link合作重现了这个漏洞问题。在2018年11月6日,D-Link已经为受影响的设备提供了修复方案。

概述

WPA2是用于客户端和接入点(AP)之间的WLAN网络通信的加密技术。为了相互连接,AP和客户端都需要知道预共享密钥(PSK),它们在WPA握手过程中交换,随后在它们之间打开加密通道。高效新闻网

通常,破坏WPA2加密需要在AP和客户端(也称为请求者)上执行无线捕获,其中握手过程完全可见,或者仅从AP获取对偶主密钥标识符(PMKID)。完成此操作后,您将获得强制WPA2 PSK所需的所有信息。获取PSK所需的时间取决于硬件和PSK长度。但有时候通过WPA2加密需要一点运气,这往往不到一秒钟。

办公室日常工作

2018年8月初,我正在为新思科技的Defensics解决方案完成新版本的测试套件,该解决方案为各种协议提供模糊测试。模糊测试是一种测试方法,测试工具发送格式错误的输入以发现软件中潜在的安全漏洞。这种包含意外或无效数据的格式错误的输入称为异常测试用例。推荐http://www.gao-xiao.com/

我最后添加到测试套件中的信息包括一些新的异常测试用例和 SafeGuard 结果。 SafeGuard 是一项专利功能,允许 Defensics 识别违反规范或最佳实践的情况 —— 例如,当被测系统( SUT )选择弱加密方案时,或者以明文形式发送身份验证凭据时。

SafeGuard 与模糊测试有何不同?

新版本的 Defensics 802.11 测试套件包含两项重要改进。

第一, WPA2 握手后数据帧的 WPA2 加密。之前的版本仅计算会话的临时密钥,而且可以将此信息写入文件。这允许测试人员验证 Defensics 和 SUT 都具有相同的临时密钥。但是发送加密数据帧会自动测试正确的密钥,因为两端的加密和解密需要知道密钥。推荐gao-xiao.com

第二个改进是在 IPv4 上简单的动态主机设置协议 (DHCP) 发现报文序列。此 DHCP 序列验证 SUT 是否接收数据帧并检查响应。由于 DHCP 本身非常复杂,我首先在没有加密的情况下实现它,并且在 DHCP 序列工作之后,在测试中添加了 WPA2 AES CCMP 加密。

测试&发现

我当时正在为 WPA1 添加一个弱加密 SafeGuard ,因为已知 WPA1 有弱点而且不应该使用。 WEP 加密也是如此:它不应该再被使用了。 Defensics 802.11 测试套件那时具有弱加密检测功能,我运行了几个案例来测试它,正巧我桌面上有 AP ,即 D-Link DIR-850L 。我以为会检测到弱加密,因为我已经将 SUT AP 配置为拥有 WPA1 而没有其它任何设置。高效新闻网

正如我所预测的一样, Defensics 正确地检测到弱加密。但是 AP 接受了没有 WPA 加密的 DHCP 发现序列。此特定测试用例本应经过协商以使用 WPA1 加密,但它不包含实际加密: DHCP 发现序列以明文形式发送给 AP 。我对此测试结果感到惊讶,因为路由器应该需要 WPA1 加密。然后我使用 Wireshark ,一种捕获无线数据帧的工具,重新运行测试用例并检查结果。

在结果中,我看到了 AP 给 Defensics 提供的 IP 地址、路由器 IP 地址、租用时间等。发现序列再次以明文发送。来自http://www.gao-xiao.com/然后我将加密从 WPA1 更改为 WPA2 ,看看是否会对 SUT 行为产生影响。同样,发现序列仍以明文形式发送,因此这出现了问题。 AP 还支持 WPA Enterprise ,并且在该模式下的测试没有改变行为 – 序列仍以明文形式发送。

分析

当然,下一个问题是发生了什么,为什么呢?连接到 AP 分两个阶段完成。首先,客户端和 AP 就连接参数和要使用的加密达成一致;其次,执行所谓的 WPA 握手或四次握手,交换加密参数并确保它们都具有 PSK 。在此之后,他们打开加密数据连接。但是,我运行的测试用例跳过了 WPA 握手,因此必须在握手之前发生什么, AP 和客户端就连接参数和使用的加密达成一致。

第一阶段包括探测请求和响应、身份验证请求和响应,最后是关联请求和响应。探测请求的主要目的只是发现 AP 。然后,探测响应包含有关 AP 的所有信息,包括支持哪种加密。

下一个请求 – 响应对是身份验证,其目的是确保向后兼容性。接下来是关联请求和响应。在关联请求中,客户端告诉 AP 哪个是它想要的加密以及使用哪些参数。关联请求还会打开 AP 和客户端之间的数据连接。

我运行的测试用例有一个正常的探测请求和身份验证请求。然后,关联请求需要客户端支持 WPA1 加密。此时, WPA 握手应该发生,但由于我的测试用例跳过了握手, AP 和客户端开始发送没有任何加密的数据帧。

漏洞利用

从没有凭据的受保护网络获取 IP 地址已经是件坏事,但是还会更糟糕吗?我决定为此漏洞创建漏洞利用程序。我的想法是创建一个自定义版本的 wpa_supplicant ( Linux 操作系统中的默认 WLAN 客户端)。

首先,我尝试修改 wpa_supplicant ,以便它只是忽略 WPA 握手,但事实证明这非常困难。检查太多,无法确保 WPA 状态机处于正确状态。这证实我试图做的事情并不常见。我尝试的下一件事是在没有加密的情况下建立连接,但修改包含加密参数的关联消息。这与 Defensics 测试套件在测试用例中所做的一样。我只需要删除一些未经协商的加密参数检查,就可以建立连接。

对 Defensics 智能模糊测试有疑问?

我有一个wpa_supplicant的修改版本,它提供了网络接口上的完整Linux IP堆栈。首先,我尝试连接到AP管理面板。虽然连接了,但是我注意到在路由器接到流氓客户端之前,路由器接受了普通数据帧时,有三到六秒的窗口。然而,wpa_supplicant自动重新连接,我的开发继续进行。实际上,重新连接速度非常快,即使传输控制协议(TCP)连接仍保持打开状态。

此外,我还连接了另外两台设备,一台是有线的,一台是通过WLAN连接的。从流氓客户端,我可以毫无费劲地连接两个设备。从路由器管理面板,我看到恶意客户端被识别为连接到路由器的任何其它客户端。因此,利用此漏洞,我可以在不知道预共享密钥的情况下完全访问网络。我不需要做任何耗时的暴力破解 – 我只是连接到网络。

总结

Defensics 802.11测试套件现在可以识别绕过整个WPA加密机制的情况。测试套件现在包含一个单独的SafeGuard功能来测试此漏洞,如果它检测到WPA加密被绕过,则测试将显示失败。因此,针对其AP运行Defensics模糊测试的供应商将意识到此漏洞。测试的D-Link设备是随机选择的,D-Link已经发布了该设备的补丁。

*本文作者:SIGChina,转载请注明来自FreeBuf.COM


网 址:http://www.gao-xiao.com/html/24671672.html
首 发:D-Link DIR-850L路由器存在漏洞,可绕过加密
  • 科学家发现了癌症扩散的新机制,有利于研发新的干细胞疗法

    癌症是目前损害人们健康的主要威胁之一,寻找可以控制或者治疗癌症的方法已经成为了科学家目前最主要的任务。最近,麦吉尔大学的科学家通过对癌症的扩散进行了研究,在研究中已经有了新的发现。科学家通过对在胶质母细胞瘤患者身上存在的一种叫做EGFRvlll的基因进行了研究。胶质母细胞瘤是一种具有非常侵袭性的脑部癌症。胶质母细胞瘤的特点是:(1)治疗难度特别大;(2)传播速度特别快;(3)侵袭性特别强。科学家表示,可以产生癌症的基因EGFRvlll通过蛋白质可以让细胞改变自己的行为。而且癌细胞必须要通过相互之

  • 制造业中有这个证的人年薪可达百万,这个证还不难考

    点击上方蓝色小字,关注讨教平台很多制造业的朋友都苦于工资低,小编的朋友工作5年了还在为月入过万而发愁。小编之前也是制造业的苦工,做技术的话工资涨幅涨不过货币贬值,做管理自己又不是那个性格也没有背景,当时也想过考一个含金量的证来改善前途,找来找去只有电器工程师还不错但对专业卡得太死,其他容易考的证基本都没含金量。这样越找出路,越感觉笼罩在没有出路的窒息感中,所以就转行互联网了,工资才翻了倍。当然互联网也有弊端,就是越老越不吃香,上了35岁简历基本没人看,当然这都是后话了...今天要说这个证就是六西

  • 电工电拖实训柜式考核装置 电工电拖教学培训设备

    信息:高级电工、电拖实训考核装置以标准的电气控制柜为主柜,利用柜体的双面空间,布置电器及配套实验器材,能完成初级电工考核鉴定中的电力拖动控制与照明电路的实操项目,该电工、电拖实训考核装置坚持理论联系实际的原则,各电器的接点都与接线端子相连,再让学生在接线端子上接线,连接电机、电器来完成各项控制实验,有效降低材料消耗,延长使用寿命。装置按标准电气控制柜设计制造规格,充分利用双面位置,柜内装有完成各种照明电路所需的单相电度表、日光灯、单联开关、插座、感应开关、漏电开关等,以及电气控制所需要的多种低压

  • 华为患上大嘴病 高管罔顾事实贬低竞争对手

    日前,西方国家对华为的通信设备业务进行了封杀和围剿,通过行政力量强制运营商不得采购华为和中兴的通信设备。这种有违自由贸易的举措把国内那些言必称西方的自由主义经济学家的脸都打肿了。12月14日,华为新西兰分公司CEO范岩在在该国媒体《新西兰先驱报》发表署名文章:无论是技术还是口碑,华为有权参与公平竞争,华为应该得到更好的对待。总的来说,华为高管要求合情合理。诚然,通信网络建设是国家级的基础工程,为了保障国家信息安全,倾向于本土或盟友的设备商实属正常——正如中国移动通信网络建设中,更多的把订单交给华

  • 砥砺四十载 透过“红顶奖”看格兰仕的精品之路

    对于顶级旗舰手机,手机厂商们还会选择与超跑俱乐部合作,在手机机身上下功夫,比如华为mate20保时捷版、OPPOFindX兰博基尼版,当然售价也是非常的昂贵,对于只做旗舰机的一加来说,自然也加入了超跑俱乐部。12月14日,一加手机在深圳举行一加五周年特别活动,除了一加科技CEO刘作虎回顾公司五年历程之外,一加也推出了一款具有纪念意义的产品:一加6T迈凯伦定制版。与普通版不同的是,一加6T迈凯伦定制版拥有全新的Warp闪充30功能,最高30W充电功率,20分钟即可充电50%,而且边玩边充时依旧是闪

  • 2.5W/m*K低粘度加成型灌封胶用导热粉

    导语随着技术不断提升和管理不断改进,金戈新材针对2.5W/m*K低粘度加成型灌封胶,成功研发了一款综合性能优异的导热填充剂--GD-S285G,具体指标及应用详见下文。产品特点(1)粉体球形率高,表面光滑,对硅油增粘小。(2)粉体经过表面处理,与硅油的相容性好,易分散,所得灌封胶制品粘度低,抗沉降性能优良。(3)粉体粒径分布合理,堆积密度大,建议添加量下可达到优异的导热性能。推荐应用在100份200cps乙烯基硅油中添加900份的GD-S285G导热剂,制备2.5W/m*K,粘度30000cps

  • 厂商放心了!谷歌开放权限:Android越来越开放了

    一直有人担心,谷歌会慢慢的将Android变的封闭,最终像iOS那样,不过从格局上来看,他们不会也不可能这样做,众多手机厂商是谷歌最大的阻碍。从谷歌最新的政策来看,他们打算让Android开源项目(简称AOSP)变得更开源,其允许更多非合作伙伴,也能使用AOSP的相应开发工作,为整个安卓阵营做出贡献。对于谷歌来说,他们不能对安卓进行封闭化,其也在悄悄开发新的系统版本,比如Fuchsia操作系统,其不再使用Linux内核,而是基于Zircon微核,采用Flutter引擎+Dart语言编写。值得一提

  • 曝:苹果发声称下周软件更新!华为5G技术打开欧洲市场?

    最近苹果做出调整,并发表了新的声明,称下周就对系统软件进行更新,以此来改变自己市场上的困境!​对于高通这一起诉苹果实际上并没有太大惊慌,虽然股价下跌但是苹果公司的业务目前还没有受到太大影响,苹果也曾表示高通的起诉实际上是一个绝望的举措,他们之前从未提出过这三项专利的主张,而且其中一项专利已经失效,苹果方面也将通过正规途径解决问题。从上面可以看出苹果方面的底气十足,并且用非常快的速度开发相应技术解决专利功能上的问题,网民认为这点确实值得赞赏。而同样有利好消息的还有前段时间在5G推广道路上受阻的华为