این تجهیزات اجازه اجرای کد از راه دور را میدهد که از طریق ابزار Diagnostic Network انجام میشود. حمله کننده از روش پارامتر تغییر یافته استفاده میکند. یک بار از طریق متاکاراکترهای shell و یک بار با آرگومانهای دستورات.
شناسه آسیبپذیری: CVE-2020-8087
سطح ریسک: بحرانی
CVSS:3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H
سیستمهای آسیبپذیر:
SMC Networks D3G0804W D3GNV5M-3.5.1.6.10_GA
نیازمندی تعامل کاربر: خیر
سال شناسایی: ۲۰۲۰
۱-معرفی SMC D3G0804W Router:
این تکنولوژی یک Gateway چندرسانهای است که فایلهای تصویری و اطلاعات را منتقل مینماید. این دادهها در پلتفرمهای ایمنی منازل، اتوماسیون و IPTV استفاده میشود. این Gateway یک روتر برای اتصال شبکه محلی تمام تجهیزات کسب و کارها و منازل به اینترنت میباشد.
۲- توضیحات:
با بررسی عملکرد این روتر متوجه بخشی میشویم که حمله کننده میتواند دسترسی کامل روتر را در دست بگیرد و این آسیب پذیری به دلیل کنترل نکردن یکی از اتصالات دستگاه است که از طریق پارامتر تغییریافته قابل اکسپلویت کردن است.
برای دسترسی به روتر، از اطلاعات کاربری پیش فرض استفاده میشود و با کلیک بر روی Diagnostic tools صفحه Troubleshooting، پارامترهای دامین و آدرس IP مشاهده میگردد. درخواست را از طریق Burp suite پروکسی نموده و بعضی پارامترها را تغییر میدهیم.
به منظور دانلود shell بر روی روتر اقدامات زیر را انجام میدهیم. پارامتر vlu_diagnostic_tools_ping_address پارامتری است که مقادیر بیشتر از پارامتر اول را قبول میکند که در نتیجه امکان کپی نمودن مقدار اولیه ایجاد میشود و مشکل مربوط به space را حل میکند.
پس در پارامتر اول vlu_diagnostic_tools_ping_address کافیست از “|” و wget استفاده شود و در پارامتر دوم vlu_diagnostic_tools_ping_address یک آدرس URL برای دانلود فایل شامل shell قرار میدهیم. بعد از آدرس URL باید یک “#” قرار دهیم تا مابقی دستورات کامنت گردد. شکل زیر درخواست تغییر یافته را نشان میدهد. فایل Shell بر روی وب سرور دانلود میشود و به همین طریق میتوان دستور /bin/sh ./r را بر روی تجهیز اجرا نمود.
و مطابق شکل زیر reverse shell بدست میآید:
منابع
https://nvd.nist.gov/vuln/detail/CVE-2020-8087
https://sku11army.blogspot.com/2020/01/smc-networks-remote-code-execution.html
