Lỗ hổng bảo mật cho phép thực thi lệnh từ xa trên một số dòng modem

09:20 | 08/09/2017 | LỖ HỔNG ATTT

Gần đây, nhóm chuyên gia VreT của công ty VSEC tại Việt Nam đã phát hiện ra một lỗ hổng trên bộ đệm (Buffer overlow) trên dòng thiết bị GPON Router cài hệ điều hành Linux nhân 2.6+. Lỗ hổng này cho phép thực thi mã lệnh từ xa và chiếm toàn quyền điều khiển thiết bị.

Hiện nay, thế giới và Việt Nam đang bước vào cuộc cách mạng 4.0, với hệ thống thiết bị IoT được phát triển mạnh mẽ. Việc đảm bảo an toàn thông tin cho thiết bị IoT và các hệ thống nhúng trở nên rất quan trọng. Một trong những thiết bị được sử dụng phổ biến để kết nối người dùng và Internet là modem. Tại Việt Nam, thiết bị modem thường được cung cấp và quản lý bởi các nhà cung cấp dịch vụ Internet (Internet Service Provider – ISP).

Lỗ hổng Buffer overflow

Buffer overflow là một lỗ hổng phổ biến trong khai thác lỗ hổng phần mềm trên máy tính. Lỗ hổng này xuất hiện khi lập trình viên máy tính không kiểm soát được kích thước của dữ liệu được ghi vào bộ nhớ đã được cấp phát, dẫn đến việc có thể bị lợi dụng để ghi đè dữ liệu sang một vùng nhớ khác, thay đổi dữ liệu một cách không mong muốn, hoặc thay đổi luồng thực thi của chương trình.

Với các modem dòng GPON Router, lỗ hổng bảo mật Buffer overflow có thể bị khai thác qua trình duyệt WebMgr - trình quản lý web portal của modem, xuất hiện trong portal_form của thiết bị, do lệnh sao chép dữ liệu tại đoạn mã: strcpy (&action_buffer, action_type) mà không kiểm tra độ dài của dữ liệu được gửi lên (POST).

Lỗ hổng bảo mật Buffer overflow được kích hoạt bởi yêu cầu kết nối từ người khai thác gửi lên thiết bị qua giao diện web như sau:

Lỗ hổng bảo mật cho phép thực thi lệnh từ xa trên một số dòng modem

Dưới đây là mã poseudo-code của hàm xử lý portal_Form:

Hàm xử lý portal_Form hoạt động như sau:

1. Xử lý request được gửi lên bởi client, lấy giá trị của actiontype trong nội dung của request;

2. copy giá trị của actiontype sang một buffer thuộc khu vực .data (địa chỉ của buffer là 0x356e4);

3. Nếu giá trị của actiontype là “ping” hoặc “traceroute” và trạng thái của WAN là 1, thì gọi hàm diag_check. Ngược lại, sẽ trả về trạng thái “WAN NOT UP” hoặc một thông báo lỗi cho phía client;

4. Hàm diag_check nếu được gọi, sẽ thực hiện công việc ping hoặc traceroute bởi lệnh system();

5. Kết thúc, hàm xử lý portal_Form sẽ trả về kết quả của diag_check .

Lỗ hổng Buffer overflow xuất hiện do việc copy giá trị của actiontype mà không kiểm tra độ dài. Việc này dẫn tới một số giá trị có thể bị ghi đè và cho phép thực thi mã lệnh từ xa (remote code execution) trên thiết bị.

Nội dung của actiontype sẽ được sao chép vào vùng nhớ 0x356e4 bởi strcpy:

Dữ liệu được ghi đè sang các vùng nhớ khác, ta có thể thấy vùng nhớ 0x3577c đã bị ghi đè bởi chuỗi `cat /etc/passwd > /tmp/pwn`(vùng khoanh đỏ hình bên dưới).

Có thể nhận thấy hàm diag_check thực hiện lệnh system() với tham số truyền vào chính là ô nhớ có địa chỉ 0x3577c trong mã poseudo-code của hàm diag_check dưới đây.

Với việc ghi đè vùng nhớ 0x3577c, có thể thực hiện lệnh qua lời gọi hàm hệ thống bởi modem và thực hiện lệnh trên modem với quyền cao nhất. Nhưng do chương trình kiểm tra giá trị của biến wan_state, nên cần phải thực hiện một số kỹ thuật để có thể khai thác và thực hiện thành công lệnh trên modem.

Thực thi lệnh từ xa qua khai thác lỗ hổng bảo mật Buffer overflow

Với lỗ hổng buffer overflow ở trên, vùng nhớ 0x3755c có thể ghi đè thành câu lệnh “cat /etc/passwd > /tmp/pwn” với request sau:

Nhưng với request trên thì giá trị của wan_state (nằm tại ô nhớ 0x35768) cũng bị ghi đè thành “AAAA”, dẫn tới lệnh không được thực thi bởi hàm system() trong hàm diag_check.

Để có thể thực hiện lệnh, ta cần thiết lập giá trị (layout) của bộ nhớ như sau:

Việc đòi hỏi giá trị wan_state = 0x00000001 sẽ tạo ra null-byte trong quá trình copy dữ liệu sử dụng hàm strcpy. Dựa trên đặc điểm static của vùng nhớ .DATA mà có thể sử dụng thủ thuật dưới đây để có thể cài đặt layout của bộ nhớ và thực hiện lệnh.

Ta gửi liên tục 4 request như sau:

Kết nối thứ 1: Thiết lập bộ nhớ và cài đặt lệnh cần thực thi:

Lúc này, giá trị của 0x3577c đã chứa nội dung lệnh cần thực hiện.

Kết nối thứ 2:

Ghi đè byte thứ 4 của ô nhớ 0x35768 về 0x00. Nội dung ô nhớ 0x35768 có giá trị 0x696969

Kết nối thứ 3:

Tiếp tục ghi đè byte thứ 3 về 0x00 với nội dung của request với

Giá trị của wan_state = 0x6969

Kết nối thứ 4:

Kết nối cuối cùng hoàn tất việc ghi đè 2 byte đầu tiên của wan_state thành 0x0001

Với request thứ 4, ta đã có thể đặt nội dung của wan_state ở địa chỉ 0x35768 về 0x00000001. Và lệnh đã được thực hiện sau khi kết thúc kết nối thứ 4, nội dung của tệp tin /etc/passwd đã được đọc và ghi ra tệp tin /tmp/pwn.

Minh họa kẻ tấn công thực hiện khai thác lỗ hổng:

Nội dung tệp tin /tmp/pwn trên modem:

Như vậy, sau 4 kết nối đơn giản, modem đã thực hiện lệnh ‘cat/etc/passwd>/tmp/pwn’ của người khai thác. Việc tấn công lên thiết bị này cho phép kẻ tấn công chiếm quyền điều khiển modem, từ đó mở rộng tấn công sang các thiết bị khác trong mạng.

Một số khuyến cáo của nhóm VreT, VSEC

Đối với người dùng: Hiện tại, người dùng cuối chưa có giải pháp triệt để có thể phòng tránh đối với việc khai thác tấn công lỗ hổng này. Giải pháp an toàn là hạn chế việc sử dụng mạng LAN đối với những người không đáng tin cậy và chờ đợi bản vá, cũng như cập nhật của ISP.

Đối với ISP: Thực hiện vá ngay lỗ hổng Buffer overflow bằng cách kiểm tra độ dài của dữ liệu được gửi lên hoặc sử dụng một hàm sao chép dữ liệu an toàn như: memcpy, strncpy; Tự động cập nhật thiết bị hoặc thông báo tới người dùng.

‹ › ×

Tin cùng chuyên mục

Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á

10:00 | 24/04/2024

Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.

AT&T xác nhận dữ liệu của 73 triệu khách hàng bị rò rỉ

13:00 | 05/04/2024

Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Phát hiện lỗ hổng nghiêm trọng trong GitLab khi tạo workspace cho phép ghi đè tệp

08:00 | 06/02/2024

GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

Hacker / Malware

Phân tích phần mềm độc hại DinodasRAT trên Linux

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

19:00 | 30/04/2024
Phân tích kỹ thuật lừa đảo mới nhằm phát tán phần mềm độc hại trên GitHub
Vén màn chiến dịch gián điệp mạng LightSpy
Bắt giữ 37 nghi phạm trong đường dây dịch vụ lừa đảo trực tuyến