3G/4G調制解調器曝漏洞：可致設備被完全控制

　　近日，安全專(zhuān)家在調查中發(fā)現，來(lái)自四個(gè)廠(chǎng)商的蜂窩調制解調器中存在跨站腳本漏洞、跨站請求偽造漏洞和遠程代碼執行漏洞，并可能遭受完整性攻擊。

　　該調查由PositiveTechnologies發(fā)起、SCADAStrangelove團隊參與執行，主要涉及華為(Huawei)、正文科技(Gemtek)、廣達科技(Quanta)和中興通訊(ZTE)的調制解調器產(chǎn)品。

　　通過(guò)對調查對象(包括兩款Gemtek、兩款Quanta、一款ZTE和三款Huawei)的測試，發(fā)現這些產(chǎn)品中均存在遠程代碼執行漏洞，并且除了華為的產(chǎn)品外均存在惡意固件。

　　圖一測試產(chǎn)品的數據統計

　　漏洞檢測

　　參與測試的調制解調器中的漏洞可能導致遠程攻擊者完全控制設備。以下按漏洞的嚴重性對這些漏洞進(jìn)行描述：

　　1、遠程代碼執行漏洞

　　導致該漏洞主要有三個(gè)原因：這些產(chǎn)品的Web服務(wù)器都是基于簡(jiǎn)單的為適當過(guò)濾的CGI腳本;調制解調器需要使用文件系統發(fā)送AT命令、讀取和寫(xiě)入SMS消息和配置防火墻規則等;這些產(chǎn)品都沒(méi)有CSRF保護，以至于攻擊者可借助社會(huì )工程學(xué)和惡意網(wǎng)站的請求執行遠程代碼。因此，百分之六十的調制解調器中存在遠程代碼執行漏洞。(其中只有華為官方公布了部分漏洞，其余仍為0day漏洞)

　　2、完整性漏洞

　　在這些產(chǎn)品中，有三款是配置了防固件篡改保護的，其中有兩款使用了相同的完整性檢測算法，在這種算法中攻擊者可通過(guò)注入代碼修改固件;其中一款僅僅使用RC4算法進(jìn)行固件加密，攻擊者可提取加密密鑰并確定加密算法，進(jìn)而更改固件。

　　其中有三款沒(méi)有任何完整性保護機制，并且固件升級需要本地訪(fǎng)問(wèn)COM接口。

　　最后兩款則必須通過(guò)運營(yíng)商的網(wǎng)絡(luò )、借助FOTA(移動(dòng)終端的空中下載軟件升級)技術(shù)進(jìn)行升級。

　　3、跨站請求偽造漏洞

　　跨站請求偽造攻擊主要用于遠程上傳修改的固件，并完成代碼注入。對每個(gè)請求使用唯一的令牌是阻止此類(lèi)攻擊的有效方法。

　　4、跨站腳本漏洞

　　利用跨站腳本漏洞的攻擊影響范圍十分廣泛，從宿主感染到SMS消息攔截都有可能發(fā)生。此次調查主要針對讓AntiCSRF檢查和同源策略的固件上傳。

　　總結

　　借助以上發(fā)現的這些漏洞，攻擊者可以確定目標位置、攔截和發(fā)生SMS消息和USSD請求、讀取HTTP和HTTPS流量、攻擊SIM卡盒攔截2G流量，甚至通過(guò)運營(yíng)商的網(wǎng)絡(luò )對網(wǎng)站和設備進(jìn)行蠕蟲(chóng)感染。

　　經(jīng)調查發(fā)現，華為的使用最新固件的調制解調器是最安全的，運營(yíng)商只允許在固件中添加一些視覺(jué)元素和開(kāi)啟/啟用特定的功能，并且會(huì )及時(shí)修補漏洞。調查的這些調制解調器產(chǎn)品一旦被攻擊者攻破，很有可能影響所在的整個(gè)網(wǎng)絡(luò )，所以廠(chǎng)商在設計和生產(chǎn)過(guò)程中一定要更加注重產(chǎn)品的安全性。