<h4>1、漏洞概要</h4><p>2014 年 3 月 3 日,Rapid7 团队发布了中兴 F460 / F660 后门信息<a href="http://blog.knownsec.com/2015/01/analysis-of-zte-soho-routerweb_shell_cmd-gch-remote-command-execution/#_ftn1">[1]</a>,任何可以访问设备的用户都可以直接访问一个命令执行的 Web 界面,以 root 权限执行任意命令。</p><p>上述设备在中国境内被广泛应用,俗称“电信光猫”。</p><h4>2.1漏洞描述</h4><p>ZTE 生产的 SOHO Router 的一些型号中,Web 根目录(/home/httpd )下存在 /web_shell_cmd.gch 文件,没有任何访问控制,可以直接执行任意系统命令。</p><p>以下几点值得注意:</p><ul><li>Rapid7 于 2014 年 3 月 3 日公布此漏洞,但是根据搜索结果,此问题早在 2012 年就被人发现,并被当做了破解 ISP 限制的方法在网上公布<a href="http://blog.knownsec.com/2015/01/analysis-of-zte-soho-routerweb_shell_cmd-gch-remote-command-execution/#_ftn2">[2]</a>,但是文章重点是介绍了配置命令的用法,对此漏洞只是一笔带过。2013 年也已经有人研究过漏洞相关文件<a href="http://blog.knownsec.com/2015/01/analysis-of-zte-soho-routerweb_shell_cmd-gch-remote-command-execution/#_ftn3">[3]</a>。</li><li>经过验证,此漏洞不止存在于 Rapid7 公开的两个型号( F460 / F660 )的设备中,其他型号也存在此问题(主要有 F412、F420、F460、F660、ZXA10F460...
<h4>1、漏洞概要</h4><p>2014 年 3 月 3 日,Rapid7 团队发布了中兴 F460 / F660 后门信息<a href="http://blog.knownsec.com/2015/01/analysis-of-zte-soho-routerweb_shell_cmd-gch-remote-command-execution/#_ftn1">[1]</a>,任何可以访问设备的用户都可以直接访问一个命令执行的 Web 界面,以 root 权限执行任意命令。</p><p>上述设备在中国境内被广泛应用,俗称“电信光猫”。</p><h4>2.1漏洞描述</h4><p>ZTE 生产的 SOHO Router 的一些型号中,Web 根目录(/home/httpd )下存在 /web_shell_cmd.gch 文件,没有任何访问控制,可以直接执行任意系统命令。</p><p>以下几点值得注意:</p><ul><li>Rapid7 于 2014 年 3 月 3 日公布此漏洞,但是根据搜索结果,此问题早在 2012 年就被人发现,并被当做了破解 ISP 限制的方法在网上公布<a href="http://blog.knownsec.com/2015/01/analysis-of-zte-soho-routerweb_shell_cmd-gch-remote-command-execution/#_ftn2">[2]</a>,但是文章重点是介绍了配置命令的用法,对此漏洞只是一笔带过。2013 年也已经有人研究过漏洞相关文件<a href="http://blog.knownsec.com/2015/01/analysis-of-zte-soho-routerweb_shell_cmd-gch-remote-command-execution/#_ftn3">[3]</a>。</li><li>经过验证,此漏洞不止存在于 Rapid7 公开的两个型号( F460 / F660 )的设备中,其他型号也存在此问题(主要有 F412、F420、F460、F660、ZXA10F460 等)。且描述中的两个型号也不一定存在此漏洞,可能与电信装机时的配置有关。</li><li>通过此漏洞,远程攻击者可以直接控制设备,修改任意设置。<strong>这些设备提供了修改设置的命令行工具,可以直接利用此漏洞通过一个请求就能实现 </strong><strong>DNS </strong><strong>劫持等功能。命令参考:</strong><a href="http://www.myxzy.com/post-342.html">http://www.myxzy.com/post-342.html</a>。</li><li>此漏洞也可以通过 CSRF 方式利用,且无路由器中的常见的基础认证。</li></ul><p>示例代码:</p><p>1 :<a href="https://community.rapid7.com/community/infosec/blog/2014/03/03/disclosure-r7-2013-18-zte-f460-and-zte-f660-webshellcmdgch-backdoor" rel="nofollow">https://community.rapid7.com/community/infosec/blog/2014/03/03/disclosure-r7-2013-18-zte-f460-and-zte-f660-webshellcmdgch-backdoor</a></p><p>2:<a href="http://www.myxzy.com/post-342.html" rel="nofollow">http://www.myxzy.com/post-342.html</a></p><p>3 :<a href="http://www.chinadsl.net/forum.php?mod=viewthread&tid=101727" rel="nofollow">http://www.chinadsl.net/forum.php?mod=viewthread&tid=101727</a></p><p><img src="http://blog.knownsec.com/wp-content/uploads/2015/01/image004.gif" alt="image004" height="81" width="608"></p><p>可以执行的命令可以参考上一条提供的链接。</p><h4>2.2漏洞验证</h4><p>可以使用如下方法来检查设备是否存在此漏洞:</p><p>访问:<a href="http://ip/web_shell_cmd.gch" rel="nofollow">http://ip/web_shell_cmd.gch</a></p><p>即可执行任意命令。</p><p><img src="http://blog.knownsec.com/wp-content/uploads/2015/01/image006.gif" alt="image006" height="408" width="553"></p><h4>3.ZoomEye分析概要</h4><p>来自知道创宇的 ZoomEye 团队(钟馗之眼网络空间探知系统)通过几种方式的组合检测,得到了些影响结论。</p><p>Zoomeye 搜索 ZTE 设备:</p><p><a href="http://www.zoomeye.org/search?q=%22Mini+web+server+1.0+ZTE%22&t=host" rel="nofollow">http://www.zoomeye.org/search?q=%22Mini+web+server+1.0+ZTE%22&t=host</a></p><p><strong>注意:以下这些影响都是可被直接远程攻击的,属于高危级别!</strong></p><p>Zoomeye 线上的数据总数 33059 台开放了 Web 服务的中兴设备, 有 1072 受此漏洞影响。</p>
