TMT观察网_独特视角观察TMT行业

物聯網有望讓我們的生活更輕松。想要遠程打開和關閉燈和設備并在線監控它們？“智能插頭”是一種Wi-Fi連接的電源插座，是一種簡單的方法。但是，如果物聯網設備沒有得到妥善保護，它們就會變成攻擊媒介。

據區塊鏈安全咨詢公司 曲速未來 表示：發現軟件和硬件中的安全問題，是用以幫助他們的開發人員為企業和消費者提供更安全的產品。根據最近調查的Belkin生產的消費品。對Wemo Insight Smart Plug的研究導致在libUPnPHndlr.so庫中發現了未報告的緩沖區溢出。此缺陷CVE-2018-6692允許攻擊者執行遠程代碼。

此漏洞是否可以導致有用的攻擊？智能插頭本身的影響很小。攻擊者可能會關閉交換機，或者最壞情況下可能會使交換機過載。但如果插頭與其他設備聯網，則潛在威脅會增加。插件現在可以成為更大攻擊的入口點。

發現漏洞 

網絡或遠程漏洞比本地漏洞更危險，因此仔細研究了在本地網絡上監聽的UPnP端口。用一個正在開發的UPnP模糊器工具，開始模糊打開的UPnP端口，同時監控Wemo上的UART接口。過了一會兒，就可以看到了UART界面的崩潰。

11：37：16.702 stuntsx0x46ac6 STUN客戶端事務銷毀

將發送SIGSEGV發送到wemoApp以獲得對

464d4945的無效寫訪問（epc == 2ac1fb58，ra == 2ac1fccc）

Cpu 0 

堆棧：2a0000d0 FFFFFFFE 31d2e6f0 31d2e770 31d2e76f 31d2e6f0 31d2e6f0 31d2e770 

00000000 31d2e604 00000000 00000000 2ac77d40 00000000 4f464751 4a484d4c

4e444241 47454f49 50464658 45414d42 43445044 464d4945 5552414c 46495048

4b524141 41445a4f 44534e4a 4e4e494c 44434357 494a4855 44515455 44494b45 

55584a44 584e4f52 545a5247 51545954 595a4c42 4e594a45 484f5158 46474944 

呼叫追蹤：

在多次重復并密切觀察實驗后確定崩潰是由以下數據包引起的：

POST/upnp/control/basicevent1 HTTP/1.1

主機：192.168.225.183：49154

User-Agent：python-requests / 2.9.1

接受：* / *

連接：keep-alive

SOAPAction：“urn：Belkin：service：basicevent：1 #UpdateInsightHomeSettings“

Content-Type：text/xml

Accept-Encoding：gzip，deflate

Content-Length：3253

由于空間原因，一些有效載荷已被刪除。（“EnergyPerUnitCostVersion”中的原始數據為2,828個字符。）在檢查崩潰數據和數據包之后，這似乎是標準緩沖區溢出，其中數據被覆蓋到堆棧上。接著繼續模糊測試，現在專注于“EnergyPerUnitCost”字段，發現只需要32個字符就可以使應用程序崩潰。

雖然崩潰轉儲可以提供了很多好的信息，但仍然有很多是不知道的。例如，崩潰發生在“WemoApp”中并可以提供了一個偏移量，但這個庫的基地址是什么？什么被覆蓋在堆棧上？如果在運行期間無法訪問應用程序，則很難回答這些問題。因為在這之前獲得了文件系統，所以就可以靜態分析WemoApp二進制文件;但仍然無法輕易確定崩潰的確切位置。

要回答這些問題，需要采取兩種途徑之一。可以虛擬化Wemo固件或二進制文件以繼續測試;或者如果可以確定UART接口上的root密碼，就有可能在設備上進行調試。通常，虛擬化固件并不簡單，有時會導致測試結果不準確。最好在設備上進行調試。通過我們在偵察過程中發現的所有信息，發現似乎可以繞過root密碼。（也有嘗試虛擬化WemoApp-但沒有成功。）

繞過root密碼

從提取的文件系統中，我們了解到Wemo運行嵌入式Linux系統OpenWRT，用戶帳戶信息保存在標準的/etc/passwd或/etc/shadow文件中。我們從/etc/passwd中提取了root密碼的哈希值，并將其提交給了一個破解平臺。這種方法在合理的時間內證明是無效的。

使用“dd”和binwalk提供的信息來提取固件二進制文件的正確部分以進行重新打包。

有了新的固件二進制文件，將使用XI Breakout板和flashrom將固件寫入板上的閃存芯片。重啟設備后，就可以使用新密碼登錄。

分析崩潰

通過Wemo上的root訪問，可以在UPnP模糊測試期間收集有關崩潰的更多信息。首先，是需要編譯為此特定體系結構執行更深入分析所需的工具。使用GPL，首先為設備編譯了gdbserver和gdb。Wemo有大量已安裝的工具，例如“wget”，這使得添加文件變得簡單。從/tmp目錄下載并執行了這些工具。

經過大量嘗試后，但無法直接或遠程使用設備運行gdb。因此，將gdbserver與Interactive Disassembler Pro結合使用，進行所有調試。連接調試器后，又發送導致崩潰的數據包并查看崩潰的確切位置。地址0x2AC15B98發生分段故障。從Linux“proc”目錄的內存布局中，可以確定他的內存地址位于庫libUPnPHndlr.so中。

2abf3000-2ac4d000 r-xp 00000000 1f：02 82/rom/lib/libUPnPHndlr.so

由于崩潰是由UPnP數據包引起的，因此在此庫中查找崩潰是合乎邏輯的。使用基址0x2abf3000，最后計算出IDA中靜態分析的偏移量為0x22b98。

因為開發人員將二進制文件保留為未剝離狀態，所以可以將此函數命名為TokenParser。分段錯誤發生在分支指令處;但是，在MIPS中，延遲指令在分支發生之前執行。因此，0x22B9C處的指令導致崩潰。這里，應用程序嘗試加載存儲在$ v1中的地址，并將其放在$ v0中?？匆幌录拇嫫?，還發現XML標簽“EnergyPerUnitCostVersion”中的數據包在$ v1中，導致“無效寫訪問”分段錯誤。

在靜態分析函數之后，它似乎將數據從一個部分復制到另一個部分，對于0x7C或“|”字符看三次。如果它永遠不會找到“|”，它會一直復制到靜態定義的緩沖區中。為了完全理解為什么會發生覆蓋，逐步完成函數時看一下堆棧：

當函數將數據復制到堆棧時，它最終會復制原始緩沖區的地址。一旦該地址被覆蓋，該函數就會嘗試以新值寫入下一個字節，在這種情況下是無效地址。這種溢出為攻擊者提供了兩個可利用的向量：寫入什么地方條件允許攻擊者將數據寫入內存中的任意位置;通過繼續覆蓋堆棧上的數據，攻擊者可以覆蓋$ RA寄存器或返回調用函數的地址，從而為攻擊者提供對執行流程的控制。

編寫漏洞利用

了解了漏洞那怎么利用它呢？因為這是一個標準的緩沖區溢出，只需要回答兩個問題。堆棧上有多少可用空間，是否有任何“壞”字節無法進入堆棧？了解到只有91個字節可以寫入堆棧。

下一步是確定是否存在任何“壞”字節。在運行一些測試之后，注意到了只有ASCII字符才能進入堆棧。在執行易受攻擊的代碼之前，數據包由開源XML解析器“mxml”解析。該庫遵循允許標記之間僅存在ASCII和Unicode字符的標準。

這個標準對于shellcode和面向返回的編程（ROP）技術都是非常有問題的，因為內存地址和shellcode都傾向于使用大多數不可讀的字符。我們可以使用幾種技術來對抗堆棧中的房間; 但是，由于對將通過XML清理過程的字符進行嚴格限制，最好使用已加載到內存中的函數。一種不需要廣泛shellcode的方法是使用“return to libc”攻擊來執行系統命令。由于系統調用通常將字符串作為參數，因此可能會通過過濾器。因為Wemo不使用地址空間布局隨機化，所以如果使用ROP，理論上可以調用系統而無需通過XML過濾器傳遞額外的shellcode。

這仍然是一個重大挑戰：只有包含完全ASCII字符的地址才能通過XML過濾器。這極大地限制了尋找可用小工具的可能性。使用IDA來查看libc和系統加載到內存中的位置，并找到了兩個實現：在地址0x2B0C0FD4的libuClibc-0.9.33.2.so中; 在libpthread-0.9.33.2.so中，地址為0x2AD104F4。但是，這些地址都不符合通過XML過濾器的要求。因此，即使可以創建ROP鏈，也無法僅在數據包中發送系統地址。

具有錯誤字符的地址不是利用開發的新問題。最常見的旁路之一是使用加法或減法ROP小工具在寄存器中創建所需的地址并調用該寄存器。然而，再次，由于XML過濾器，我們面臨著可以將哪些操作數用于此加法或減法方程的限制。

在研究了內存布局之后，發現了libuClibc-0.9.33.2.so位于一個內存位置，其地址可以繞過XML過濾器。很幸運，這是一個大型庫，提供了一個不錯的地址列表，因為它是這樣一個空間中唯一的庫。使用工具使可用的內存地址提取所有可能的ROP小工具，并確定加法或減法公式是否可以僅使用將繞過過濾器的值調用內存中找到的兩個系統調用之一。libuClibc-0.9.33.2.so中的系統地址0x2B0C0FD4沒有任何可用的操作數。但是，0x2AD104F4確實如此。還發現了幾個“防過濾”操作數，當加在一起時等于0x2AD104F4。

使用工具輸出來繞過過濾器以構建ROP鏈的所有可能的ROP小工具，它使用加法指令為系統創建最終地址并將其存儲在$ s0中。添加后，另一個小工具將系統地址移動到$t9并調用system。最后一個小工具還將可以從堆?？刂频牡刂芬苿拥奖４嫦到y調用參數的寄存器中。整個ROP鏈只包含三個小工具，可輕松適應緩沖區溢出提供的堆?？臻g。

有效載荷 

通過發現可以調用系統的有效ROP鏈，但必須決定應該調用哪個系統。因為系統以root身份執行，所以是可以完全控制設備。區塊鏈安全咨詢公司 曲速未來 研究表明該設備安裝了許多Linux命令。之前使用wget將gdbserver復制到設備。攻擊者還可以從系統調用wget來下載并執行任何腳本。更進一步探索了已安裝的應用程序并發現了NetCat，它可能允許攻擊者編寫腳本來創建反向shell。攻擊者可以使用wget下載腳本，并執行包含NetCat命令的腳本以創建反向shell。測試并證明這是一種簡單有效的方法，以root身份打開反向shell。攻擊者可以選擇許多其他方法來利用此漏洞并執行代碼。

結論 

諸如CVE-2018-6692之類的發現強調了所有設備上安全編碼實踐的重要性。從安全角度來看，物聯網設備經常被忽視;這可能是因為許多用于看似無害的目的，例如簡單的家庭自動化。但是，這些設備運行操作系統并且需要與臺式計算機一樣多的保護。根據發現的漏洞可能成為攻擊者進入并破壞整個業務網絡所需的立足點。

區塊鏈安全咨詢公司 曲速未來 的一個目標是在當今復雜且不斷發展的環境中識別和闡明各種威脅。通過分析和負責任的披露，引導產品制造商采取更全面的安全態勢。