趨勢科技安全研究人員RickyLawshae公開了AT&T DirecTV WVB設備組件中存在易於利用的 0day漏洞(編號CVE-2017-17411),黑客利用該漏洞可以獲取root權限,從而完全控制該設備,數百萬註冊DirecTV服務的用戶將面臨風險。
AT&T為美國第二大無線運營商,其於今年7月份收購了美國最大的衛星電視服務供應商DirecTV,兩家公司的合併創建了有著2600萬美國用戶的全球最大付費電視服務供應商。
此次公佈的漏洞問題在於Genie DVR系統的一個核心組件,該組件附帶了免費的DirecTV,這個很容易被黑客利用,從而獲得root權限,並完全控制該設備。這個漏洞實際上存在於Linksys製造的WVBR0-25,它是一款Linux驅動的無線視頻橋。DirecTV無線視頻橋WVBR0-25允許Genie DVR與客戶的Genie客戶端(最多8個)空中對接,和家裡的電視進行通信,A&A向其新客戶提供了這個平臺。
趨勢科技研究員RickyLawshae是一位DirecTV的用戶,他發現Linksys 的WVBR0-25未經任何身份驗證,便可從設備的Web服務器上分發內部診斷信息,然後他仔細研究了該設備。他試圖在設備上瀏覽無線電橋的網絡服務器,期待出現一個登錄頁面或類似頁面,但是並沒有,他發現了一堆文本流。
然後就能看到包含DirecTV無線視頻橋的所有內容的一些診斷腳本輸出內容,包括WPSpin、連接客戶端及運行過程等。
更令人擔憂的是Lawshae可在“root”權限上遠程接收他的命令(下圖 顯示了研究人員針對可在web服務器上“做任何事情”的執行文件apply.cgi進行分析),這意味著他可以運行軟件、過濾數據、加密文件,甚至幾乎可以在 Linksys設備上做任何他想做的事情。整個查看設備、查找並驗證未經驗證的遠程root命令注入漏洞他只花了30 秒。
Lawshae還提供了一段視頻,演示了一個如何快速而直接地讓任何人在不到30秒的時間內在DirecTV 無線盒上獲取一個rootshell的黑客技術,並允許他們對該設備實施未經身份驗證的完全控制。
視頻地址:https://www.youtube.com/embed/3gUjBnNGLKM?rel=0
趨勢科技ZDI(Zero DayInitiative)在6個月之前便向DirecTV的設備製造商Linksys報告了該漏洞,希望供應商能及時與研究人員溝通解決這個問題,但供應商並沒有這樣做,並且沒有解決問題,使得這個易於利用的漏洞向黑客開放。因此ZDI決定公佈這個0day漏洞,在供應商沒有實際補丁的情況下,建議用戶限制與WVBR0-25的交互。
Lawshae希望供應商能夠重視安全開發,防止類似的Bug出現在傳輸中,防止這些簡單而影響巨大的錯誤對毫無戒心的消費者造成危害。
閱讀更多 產品新人 的文章
