TR-064漏洞受影響廠商設備及TR-064協議安全性分析

作者：英國Xiphos Research高級安全研究員 Darren Martyn

過去幾個星期，嵌入式設備表現出來的安全狀況讓人擔憂，在Mirai的早期代碼被公開之後，我就認為一些「智能設備」殭屍網路將會迅速傳播，除了telnet掃描之外，可能還會以其它多種方式擴大感染範圍。果不其然，這種情況真的出現了-《

德國路由器漏洞導致的大規模DDos攻擊

》

坦率地說，我個人認為，導致上述德國網路受到攻擊的首要原因，歸根到底不是因為Mirai，而是因為設備供應商在運行TR-064協議時存在的漏洞。這是目前經我們研究發現的，一些受TR-064漏洞影響的設備供應商和產品列表：完整列表點此獲取 paste.ubuntu

以下是我個人對TR-064技術標準的安全性分析：

TR-064協議理解

TR-064：全稱LAN側DSL設備管理配置協議，是LAN 端對路由器、數據機等客戶終端設備（CPE) 的管理協議。在家庭網路環境或ISP公司內網中，允許各種客戶端軟體進行連接操作或技術支持管理。這些軟體包括ISP提供商的CD安裝程序或軟體包等。

TR-064規格基於類似UPnP的SOAP協議，允許查看、修改和設置，其默認埠為TCP 7547。命令會以POST請求的形式被發送至此埠。通過該協議，可以實現設備的DNS伺服器、NTP伺服器、wifi設置和ACS伺服器等配置的修改。

TR-064安全模型

在TR-064的技術標準文檔第4節，對安全性作了說明，其中指出「任何對CPE設備的更改性訪問行為都必須有密碼保護」，另外，文檔還提到任何登錄訪問必須要求HTTP基本認證，當然建議使用SSL/TLS；其次，對密碼等敏感信息設置不可讀許可權，對狀態、數據設置只讀許可權，而「認證」（authentication）項則不作要求。

雖然文檔中聲明此協議規定只限LAN端的訪問管理，但並沒有特別指出WAN埠對協議服務的訪問限制。

TR-064技術標準中的安全缺陷

1.未對認證模式設置只讀許可權；

2.僅限制了對設備配置的更改和寫入操作才需要密碼認證；

3.僅設置了對密碼信息的不可讀許可權。

另外，在現實情況中，很多供應商要麼就根本就沒有發現該標準中存在的不足，要麼就是完全忽略了安全的重要性，把這些標準束之高閣。而即使是按照該TR-064標準執行的廠商，其設備當然會存在安全問題，如認證操作濫用、WAN端接入和其它信息的獲取。

TR-064埠暴露在互聯網上的安全風險

簡單的說，目前TR-064協議存在的問題將會導致攻擊者不需要任何安全認證，而直接對CPE設備狀態進行重新配置，並進行更多的惡意操作，比如：

1.創建新的防火牆或埠映射規則（訪問內部網路…或Telnet /設備上的SSH /管理員界面等）；

2.獲取WPA密碼、無線MAC地址、無線SSID信息等；

3.更改CPE設備的DNS服務配置進行欺騙攻擊；

4.更改CPE設備的ACS配置服務信息。

SetNTPServers 命令注入漏洞

kenzo2017分析的愛爾蘭寬頻路由器SetNTPServers命令注入就是很好的例子，當向SOAP終端設備發送特定的SetNTPServers 命令，讓設備設置不同的NTPServer值，如NewNTPServer1、NewNTPServer2…，同時注入漏洞攻擊代碼，CPE設備將會以root（管理員）許可權執行命令。

目前，Mirai等多個殭屍網路惡意軟體通過此漏洞進行傳播感染，CPE設備被植入攻擊之後，惡意軟體就會關閉TR-069埠7547防止重複感染，同時阻止ISP提供商的遠程接入。即使CPE設備重啟，漏洞和惡意軟體也將持久駐留。

這種蠕蟲殭屍網路的傳播將會對全球ISP造成災難性影響，目前，受影響的ISP有：德國電信Telekom、英國Kcom電信、英國TalkTalk電信、英國Post Office Broadband以及愛爾蘭電信Eir等。

另外，據我們研究發現，Demon Internet、Plusnet、愛爾蘭Vodafone、巴西VEVO等大型ISP的CPE設備也存在類似漏洞隱患。

雖然德國電信斷網事件中發現了將近一百萬存在隱患的網路設備，但據我們分析，全球將近有1000萬設備存在類似隱患的終端設備。

補丁更新與botnet感染之間存在的競態條件

惡意軟體感染了CPE設備之後，將會及時關閉TR-064和TR-069的接入埠，使得ISP提供商無法在線進行固件更新，即使重啟之後，惡意軟體還會立即重新植入，整個被感染設備成為一個閉合狀態。

因此，當設備重啟之後，ISP的補丁更新和惡意軟體的重新感染之間就形成了一個典型的「競態條件」，在惡意軟體重新感染之前，ISP 的補丁更新必須完成，才能保證設備後期的安全。

但在這場較量中，據我們監測發現，大部分的蠕蟲殭屍網路已經把我們的ISP提供商打敗。

或許有些ISP提供商聲稱，他們可以進行網路過濾，但其實這種效果極不理想。

總結

從目前的隱患狀況來看，事態發展令人可怕。標準制訂缺陷、設備製造安全性不足、ISP提供商後期管理維護不力 等一系列系統性「失效」，最終導致的結果就是，讓我們普通終端用戶受到攻擊威脅，甚至由此造成更多損失。按目前這種情況來看，有以下幾點建議：

1.由於設備在生產製造時缺乏安全性設計，設備供應商應該承擔責任；

2.ISP提供商應該從源頭上對傳播感染和攻擊進行大力阻止和過濾；

3.在設備製造生產前，ISP提供商和設備供應商應該共同就安全問題進行研究考慮；

4.當涉及到安全問題時，應該嚴格按照相關標準規定執行；

5.攻擊者發現和利用漏洞的速度和程度遠遠超出我們的想像，ISP提供商和設備供應商應該加強補丁的開發、更新和研究工作。

**參考來源：

Linkedin

，FB小編clouds編譯，轉載請註明來自

FreeBuf.COM

。