趨勢科技安全研究人員RickyLawshae公開了AT&T DirecTV WVB設備組件中存在易于利用的0day漏洞(編號CVE-2017-17411),黑客利用該漏洞可以獲取root權限,從而完全控制該設備,數百萬注冊DirecTV服務的用戶將面臨風險。
AT&T為美國第二大無線運營商,其于今年7月份收購了美國最大的衛星電視服務供應商DirecTV,兩家公司的合并創建了有著2600萬美國用戶的全球最大付費電視服務供應商。
此次公布的漏洞問題在于Genie DVR系統的一個核心組件,該組件附帶了免費的DirecTV,這個很容易被黑客利用,從而獲得root權限,并完全控制該設備。這個漏洞實際上存在于Linksys制造的WVBR0-25,它是一款Linux驅動的無線視頻橋。DirecTV無線視頻橋WVBR0-25允許Genie DVR與客戶的Genie客戶端(最多8個)空中對接,和家里的電視進行通信,A&A向其新客戶提供了這個平臺。
趨勢科技研究員RickyLawshae是一位DirecTV的用戶,他發現Linksys的WVBR0-25未經任何身份驗證,便可從設備的Web服務器上分發內部診斷信息,然后他仔細研究了該設備。他試圖在設備上瀏覽無線電橋的網絡服務器,期待出現一個登錄頁面或類似頁面,但是并沒有,他發現了一堆文本流。
然后就能看到包含DirecTV無線視頻橋的所有內容的一些診斷腳本輸出內容,包括WPSpin、連接客戶端及運行過程等。
更令人擔憂的是Lawshae可在“root”權限上遠程接收他的命令(下圖顯示了研究人員針對可在web服務器上“做任何事情”的執行文件apply.cgi進行分析),這意味著他可以運行軟件、過濾數據、加密文件,甚至幾乎可以在Linksys設備上做任何他想做的事情。整個查看設備、查找并驗證未經驗證的遠程root命令注入漏洞他只花了30秒。
Lawshae還提供了一段視頻,演示了一個如何快速而直接地讓任何人在不到30秒的時間內在DirecTV無線盒上獲取一個rootshell的黑客技術,并允許他們對該設備實施未經身份驗證的完全控制。
視頻地址: https://www.youtube.com/embed/3gUjBnNGLKM?rel=0
趨勢科技ZDI(Zero DayInitiative)在6個月之前便向DirecTV的設備制造商Linksys報告了該漏洞,希望供應商能及時與研究人員溝通解決這個問題,但供應商并沒有這樣做,并且沒有解決問題,使得這個易于利用的漏洞向黑客開放。因此ZDI決定公布這個0day漏洞,在供應商沒有實際補丁的情況下,建議用戶限制與WVBR0-25的交互。
Lawshae希望供應商能夠重視安全開發,防止類似的Bug出現在傳輸中,防止這些簡單而影響巨大的錯誤對毫無戒心的消費者造成危害。
京公網安備 11010502049343號