接入路由器固件安全分析*

譚全福，姬國珍

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

路由器是互聯(lián)網(wǎng)的關(guān)鍵網(wǎng)絡(luò)設(shè)備。不同的路由器構(gòu)建了互聯(lián)網(wǎng)網(wǎng)絡(luò)的通信橋梁。路由器根據(jù)功能可以分為三類：骨干路由器﹑企業(yè)路由器以及接入路由器。接入路由器主要運(yùn)用于連接家庭或ISP內(nèi)的小型企業(yè)客戶群。雖然接入路由器處于路由網(wǎng)絡(luò)的邊界，數(shù)據(jù)吞吐量并不大，但接入路由器擁護(hù)龐大的用戶群體，廣泛分布于世界各地。綜合考慮這大量的路由器，其整體數(shù)據(jù)流量的重要性并不亞于骨干網(wǎng)和企業(yè)級(jí)路由器。因此，如果廣泛分布使用的接入路由器存在安全問題，其影響將是巨大的。文中主要介紹接入路由器安全，以下將其簡稱為路由器。

1 路由器固件漏洞

路由器固件包含了操作系統(tǒng)內(nèi)核和文件系統(tǒng)。文件系統(tǒng)是操作系統(tǒng)的運(yùn)行基礎(chǔ)，包含了實(shí)現(xiàn)路由器的各種功能應(yīng)用程序，如Web服務(wù)器。同時(shí)，路由器固件包含了路由器中所有的可執(zhí)行程序以及配置文件信息。因此，研究路由器固件漏洞對(duì)路由器安全至關(guān)重要。路由器固件漏洞主要有硬件入侵﹑Web漏洞﹑棧溢出漏洞以及其他漏洞，以下將詳細(xì)分析。

1.1 硬件入侵

硬件入侵是從路由器硬件本身入侵到路由系統(tǒng)。類似于側(cè)信道安全威脅（指能量消耗﹑電磁輻射﹑運(yùn)行時(shí)間等信息泄露而引出的脆弱性）并非利用安全措施本身的直接弱點(diǎn)，而是使用安全措施在物理實(shí)施層面的信息作為研究切入點(diǎn)。

在路由器中，硬件入侵即是從硬件芯片作為研究入口，連接芯片的調(diào)試口（如UART﹑JTAG）進(jìn)行漏洞挖掘或者固件提取[1]，如圖1所示。

圖1 硬件入侵

通過分析bootLoader從flash中加載內(nèi)核系統(tǒng)過程，獲取交互式shell及啟動(dòng)調(diào)試信息（包括文件系統(tǒng)壓縮算法﹑壓縮格式﹑系統(tǒng)類型等），進(jìn)一步對(duì)系統(tǒng)滲透進(jìn)行漏洞挖掘，獲取系統(tǒng)root權(quán)限等。

1.2 Web漏洞

路由器固件的文件系統(tǒng)中內(nèi)置嵌入式Web服務(wù)器，用于為用戶提供路由器的網(wǎng)絡(luò)配置（無線網(wǎng)絡(luò)﹑訪問控制等）服務(wù)等。路由器使用Web服務(wù)的同時(shí)也面臨了Web安全同樣的威脅，較典型的有登錄認(rèn)證漏洞﹑CSRF（Cross-site Request Forgery）跨站請(qǐng)求偽造漏洞以及SQL注入漏洞等。

1.2.1 路由器Web登錄認(rèn)證漏洞

Web登錄認(rèn)證信息用來授權(quán)登錄路由器Web服務(wù)器系統(tǒng)進(jìn)行管理配置，主要有兩種漏洞情況。一種使用弱口令密碼或使用出廠默認(rèn)口令，被暴力破解；另一種是利用路由器固件系統(tǒng)中配置文件在未經(jīng)過認(rèn)證的情況下可訪問等漏洞，泄露了口令密碼。登錄認(rèn)證漏洞導(dǎo)致非授權(quán)用戶對(duì)路由器系統(tǒng)參數(shù)更改，進(jìn)而引入相應(yīng)的威脅面。

1.2.2 路由器CSRF漏洞

路由器的CSRF即是偽造受信任用戶的請(qǐng)求來訪問路由器Web服務(wù)[2]。如圖2所示，用戶正常登錄路由器Web服務(wù)，路由器Web服務(wù)驗(yàn)證成功并返回用戶的cookies。此時(shí)，用戶再訪問非法用戶構(gòu)造的惡意網(wǎng)站，惡意網(wǎng)站返回特殊代碼并要求訪問路由器Web服務(wù)。根據(jù)非法用戶的特殊需求，可篡改路由器Web服務(wù)器中相關(guān)的配置參數(shù)，如修改無線網(wǎng)絡(luò)配置參數(shù)（SSID﹑訪問密碼等）﹑修改DNS服務(wù)器地址指向﹑劫持用戶的網(wǎng)絡(luò)訪問﹑進(jìn)行信息竊取和網(wǎng)絡(luò)釣魚等，嚴(yán)重威脅用戶數(shù)據(jù)和隱私的安全。

圖2 路由器CSRF過程

1.2.3 路由器SQL注入漏洞

路由器中存在多用戶時(shí)，如果使用簡單的數(shù)據(jù)庫（如SQLite）進(jìn)行用戶名和密碼信息的存儲(chǔ)。此時(shí)，可能存在SQL注入的危險(xiǎn)，可獲取用戶的登錄認(rèn)證信息或執(zhí)行任意指令。雖然接入路由器中較少使用數(shù)據(jù)庫，但一旦使用數(shù)據(jù)庫過程中未對(duì)SQL命令進(jìn)行安全檢查，則具備較高的危害性。典型SQL注入如圖3所示，用戶在表示層通過瀏覽器訪問位于邏輯層的路由器Web服務(wù)器，Web服務(wù)器再與位于存儲(chǔ)層的路由器數(shù)據(jù)庫進(jìn)行交互。惡意用戶通過分析固件中存在的SQL漏洞，構(gòu)造特定的SQL語句，提交到后臺(tái)數(shù)據(jù)庫執(zhí)行引發(fā)SQL注入，從而達(dá)到非授權(quán)登錄或執(zhí)行任意指令的效果[3]。

圖3 sql注入流程

逆向分析路由器固件，搜索其中包含了user_name的字符串，同時(shí)使用select語句代碼段，對(duì)上下文的函數(shù)處理邏輯進(jìn)行分析，分析可能存在的SQL注入點(diǎn)，通過操作SQL語句的輸入來修改后臺(tái)執(zhí)行過程達(dá)到非授權(quán)用戶的語氣目的。比如，使用如下SQL語句select level from user where user_name='admin' and user_pwd=''or'1'='1'繞過認(rèn)證，登錄路由器Web服務(wù)管理界面，對(duì)路由器進(jìn)行管理控制。

1.3 棧溢出漏洞

通常路由器CPU使用mips架構(gòu)，而在mips架構(gòu)中使用棧來存儲(chǔ)函數(shù)參數(shù)﹑返回地址信息以及寄存器信息等。若在調(diào)用函數(shù)過程中未對(duì)傳入?yún)?shù)進(jìn)行越界檢測，參數(shù)內(nèi)容越過了緩沖區(qū)邊界，超出部分覆蓋相鄰內(nèi)存中的數(shù)據(jù)將會(huì)引發(fā)棧溢出問題[4]。

對(duì)路由器固件進(jìn)行逆向靜態(tài)分析，當(dāng)一個(gè)函數(shù)初始化時(shí)，系統(tǒng)會(huì)將相應(yīng)的信息存入棧中。簡單的棧空間存儲(chǔ)示意圖，如圖4所示。

圖4 棧 空間存儲(chǔ)

調(diào)用函數(shù)時(shí)，會(huì)初始化棧空間，即將寄存器信息存入棧中，函數(shù)的入?yún)⒁矊魅氲綏５膮?shù)空間。當(dāng)傳入?yún)?shù)2遠(yuǎn)遠(yuǎn)大于棧中分配給參數(shù)2的空間大小時(shí)，將會(huì)出現(xiàn)棧溢出。溢出處的數(shù)據(jù)會(huì)覆蓋到棧中后面的寄存器（如s0），函數(shù)執(zhí)行完成，返回時(shí)會(huì)讀出棧空間中相應(yīng)字段的信息回到寄存器進(jìn)行現(xiàn)場恢復(fù)。此時(shí)，將導(dǎo)致漏洞利用。如果構(gòu)造惡意的溢出數(shù)據(jù)覆蓋后面的寄存器，將引起后續(xù)執(zhí)行流程異常。

實(shí)際中，棧溢出的利用主要采用了面向返回的編程ROP（Return-oriented Programming），通過覆蓋返回地址寄存器RA在函數(shù)返回時(shí)跳轉(zhuǎn)執(zhí)行系統(tǒng)內(nèi)各函數(shù)或自定義shellcode達(dá)到滲透的目的。利用存在棧溢出的函數(shù)位置輸入?yún)?shù)越界后，覆蓋返回地址寄存器RA中的值，使程序執(zhí)行完成后跳轉(zhuǎn)到其他地址執(zhí)行系統(tǒng)函數(shù)，如system()或用戶定義的shellcode。

一般而言，路由器內(nèi)存中的libc基地址是不變的。因此，可以通過泄露的libc地址，輕松定位存在棧溢出的函數(shù)具體地址，帶來進(jìn)一步危害，如系統(tǒng)拒絕服務(wù)﹑獲取系統(tǒng)shell﹑執(zhí)行非授權(quán)指令﹑進(jìn)一步遠(yuǎn)程控制利用成為僵尸網(wǎng)絡(luò)等。

1.4 其他漏洞

1.4.1 后門漏洞

固件中內(nèi)置了開發(fā)人員調(diào)試認(rèn)證信息，類似于硬編碼的口令和密碼，無法更改或清除。非法用戶獲取到該信息后，可以通過認(rèn)證信息進(jìn)行路由器的登錄，進(jìn)而修改路由器的管理配置參數(shù)，篡改DNS地址等，直接影響用戶網(wǎng)絡(luò)交易和隱私信息安全。

1.4.2 固件更新

在獲取了路由器固件Web管理系統(tǒng)的登錄認(rèn)證信息后，可通過在固件中植入木馬來更新目標(biāo)路由器，或者使用固件降級(jí)來利用漏洞固件更新路由器，進(jìn)而進(jìn)行漏洞利用。

2 路由器系統(tǒng)固件安全建議

2.1 從硬件角度防護(hù)系統(tǒng)固件

路由器產(chǎn)品硬件經(jīng)過測試并大規(guī)模生產(chǎn)后，可以從系統(tǒng)底層軟件對(duì)硬件調(diào)試接口進(jìn)行限制，如需要通過硬件加密狗解密才能訪問系統(tǒng)shell，防止通過硬件調(diào)試口對(duì)路由固件系統(tǒng)入侵。

2.2 固件Web服務(wù)器安全加強(qiáng)

2.2.1 口令密碼

路由器出廠后使用默認(rèn)用戶名密碼，需要進(jìn)行修改，防止默認(rèn)口令登錄到Web管理系統(tǒng)。新密碼使用強(qiáng)密碼，同時(shí)需要定期修改口令密碼。

從廠商角度，可以將上面的功能在路由器系統(tǒng)軟件中實(shí)現(xiàn)，驅(qū)動(dòng)用戶完成對(duì)口令密碼的安全加固操作。在用戶初始使用路由器Web管理界面進(jìn)行配置時(shí)，提示用戶修改密碼。用戶修改的新密碼進(jìn)行安全強(qiáng)度檢測，強(qiáng)制使用特殊符號(hào)。間隔一段時(shí)間用戶若再次登錄管理配置頁面，提示修改密碼[5]。

2.2.2 固件Web服務(wù)器訪問控制

路由器暴露在互聯(lián)網(wǎng)中，會(huì)作為網(wǎng)絡(luò)設(shè)備被掃描識(shí)別，可能帶來惡意用戶利用漏洞進(jìn)行非法利用的風(fēng)險(xiǎn)。因此，非必要情況下，建議關(guān)閉互聯(lián)網(wǎng)訪問控制端口，杜絕安全隱患。

2.2.3 Web安全

針對(duì)常見的路由器Web安全漏洞CSRF﹑SQL注入等對(duì)路由Web服務(wù)器進(jìn)行安全測試，防止固件中Web服務(wù)器漏洞帶來的安全威脅。

2.3 固件系統(tǒng)棧溢出防護(hù)

開啟文件系統(tǒng)針對(duì)溢出的保護(hù)機(jī)制，如開啟NX﹑ALSR﹑Canary等，用來降低溢出帶來的安全風(fēng)險(xiǎn)。

危險(xiǎn)函數(shù)檢查。一般而言，容易造成棧溢出的函數(shù)主要有strcpy﹑sprintf﹑memcpy等對(duì)數(shù)據(jù)執(zhí)行拷貝功能的函數(shù)。尤其需要對(duì)使用這些函數(shù)功能模塊進(jìn)行入?yún)?yán)格檢查，防止越界拷貝而導(dǎo)致棧溢出。

2.4 固件更新

2.4.1 校驗(yàn)

路由器登錄認(rèn)證信息被非授權(quán)獲取（破解﹑泄露以及漏洞獲取等）后，除了修改配置參數(shù)外，可能存在利用植入后門或惡意程序的固件進(jìn)行更新的風(fēng)險(xiǎn)。因此，需要對(duì)固件進(jìn)行簽名，校驗(yàn)是否是合法固件，以防止被惡意更新。

2.4.2 加密

進(jìn)行固件加密，防止固件中的文件系統(tǒng)被提取，用以分析漏洞實(shí)施惡意行為。

2.4.3 禁止降級(jí)

新版本固件已經(jīng)修復(fù)了系統(tǒng)漏洞，禁止獲取路由器Web管理認(rèn)證信息的惡意用戶使用存在漏洞的固件進(jìn)行降級(jí)，進(jìn)而利用舊版本固件漏洞植入木馬或進(jìn)行系統(tǒng)權(quán)限控制。

2.4.4 升級(jí)

用戶定期檢查是否有新版本的固件，進(jìn)行更新。同時(shí)，廠商可以將更新功能自動(dòng)化，即有新版本固件時(shí)，自動(dòng)更新系統(tǒng)，修復(fù)漏洞。

2.5 其他

2.5.1 精簡系統(tǒng)命令

在路由器系統(tǒng)功能正常工作的情況下，構(gòu)建路由器固件系統(tǒng)時(shí)盡量刪除不必要的跨系統(tǒng)間文件傳輸命令，如tftp﹑sftp﹑ssh﹑scp﹑wget﹑curl﹑rsync等。若系統(tǒng)被獲取shell遠(yuǎn)程控制，則無法通過常規(guī)手段下載惡意代碼到路由器系統(tǒng)中運(yùn)行，從而提高系統(tǒng)被植入木馬進(jìn)行控制利用的難度。

2.5.2 路由器安全測試

路由器開發(fā)項(xiàng)目完成后，在系統(tǒng)功能測試的基礎(chǔ)上，增加安全測試——代碼審計(jì)和黑盒測試，減少代碼安全漏洞。

3 結(jié) 語

接入路由器的廣泛運(yùn)用，使得其安全性變得日趨重要。它存在的漏洞面臨著被入侵控制和惡意利用的風(fēng)險(xiǎn)，不斷威脅著用戶網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)的隱私安全。本文對(duì)接入路由器固件常見的漏洞進(jìn)行分析，從硬件﹑Web服務(wù)﹑棧溢出以及固件升級(jí)等角度，對(duì)接入路由器固件提出了相應(yīng)的安全建議，有助于增強(qiáng)路由器的安全功能，為用戶安全使用接入路由器提供借鑒。

[1] Palmarini F.Reverse Engineering of Embedded Architectures[D].Venezia:Universita Ca`Foscari Venezia,2015:29-33.

[2] Niemietz M,Schwenk J.Owning Your Home Network:Router security revisited[Z].Web 2.0 Security &Privacy Workshop,2015.

[3] Justin Clarke.SQL注入攻擊與防御[M].第2版.北京:清華大學(xué)出版社,2013.

Justin Clarke.SQL Injection Attacks and Defense[M].Second Edition.Beijing:Tsinghua University Press,2013.

[4] 吳少華.揭秘家用路由器0day漏洞挖掘技術(shù)[M].北京:電子工業(yè)出版社,2015.

WU Shao-hua.Technology of How to Discover 0day Vulnerabilities in Home Routers[M].Beijing:Publishing House of Electronics Industry,2015.

[5] Karamanos E.Investigation of Home Router Security[D].Sweden:School of Information and Communicatin Technology,2010:58-60.