無線協(xié)議漏洞
 

早些年對路由器的攻擊方式大多基于無線協(xié)議中的漏洞。早些年無線路由使用的是WEP加密系統(tǒng)，也就是“有線等效加密”，但是與很多存在問題的加密算法一樣，WEP加密也是用了RC4的加密方式。

2001年8月，F(xiàn)luhrer等人發(fā)表了針對WEP的密碼分析，利用RC4加解密和IV的使用方式的特性，結(jié)果在網(wǎng)絡(luò)上偷聽幾個小時之后，就可以把RC4的鑰匙破解出來。這個攻擊方式很快就實(shí)作出來了，而自動化的工具也釋出了，只要用個人電腦、現(xiàn)成的硬件和免費(fèi)可得的軟件就能進(jìn)行這種攻擊。因此WEP在2003年被實(shí)現(xiàn)大部分IEEE 802.11i標(biāo)準(zhǔn)的WPA(Wi-Fi Protected Access)淘汰。
 

WPA相比WEP提升了部分安全性，WPA 的設(shè)計中要用到一個 802.1X 認(rèn)證服務(wù)器來散布不同的鑰匙給各個用戶;不過它也可以用在較不保險的 “pre-shared key” (PSK) 模式。Wi-Fi 聯(lián)盟把這個使用 pre-shared key 的版本叫做 WPA 個人版或 WPA2 個人版，用 802.1X 認(rèn)證的版本叫做 WPA 企業(yè)版或 WPA2 企業(yè)版。
 

WPA 的數(shù)據(jù)會以一個 128 位元的鑰匙和一個 48 位元的初向量 (IV) 的 RC4 stream cipher 來加密。WPA 超越 WEP 的主要改進(jìn)就是在使用中可以動態(tài)改變鑰匙的“臨時鑰匙完整性協(xié)定”(Temporal Key Integrity Protocol，TKIP)，加上更長的初向量，這可以擊敗知名的針對 WEP 的金鑰擷取攻擊。
 

除了認(rèn)證和加密外，WPA 對于數(shù)據(jù)的完整性也提供了巨大的改進(jìn)。WEP 所使用的 CRC(循環(huán)冗余校驗)先天就不安全，在不知道 WEP 鑰匙的情況下，要篡改所載資料和對應(yīng)的 CRC 是可能的，而 WPA 使用了稱為 “Michael” 的更安全的訊息認(rèn)證碼(在 WPA 中叫做訊息完整性查核，MIC)。
 

2004年，WPA由實(shí)現(xiàn)完整IEEE 802.11i標(biāo)準(zhǔn)的WPA2所取代。WPA2相比WPA比較重要的安全改進(jìn)是使用了AES而非原來的RC4加密方式。
 

事實(shí)上，無論是WPA還是WPA2都有相應(yīng)的破解方法，具體就是使用DEAUTH攻擊使已經(jīng)連接的客戶端斷開并重新連接，以產(chǎn)生握手包，之后再用字典進(jìn)行破解，但是既然使用到了字典，成功率就相當(dāng)不確定了。
 

2011年12月28日，安全專家Stefan Viehbock曝出WPS(Wi-Fi保護(hù)設(shè)置)功能的一個重大安全漏洞，此漏洞允許遠(yuǎn)程攻擊者使用暴力攻擊在幾小時內(nèi)就能獲取WPS的PIN碼和WPA/WPA2的PSK碼。pin碼是一個8位的整數(shù)，破解過程時間比較短。WPS PIN碼的第8位數(shù)是一個校驗和，因此黑客只需計算前7位數(shù)。另外前7位中的前四位和后三位分開認(rèn)證。所以破解pin碼最多只需要1.1萬次嘗試，順利的情況下在3小時左右。WPS認(rèn)證流程如下圖：
 

然而，現(xiàn)實(shí)情況是很多路由器會對窮舉PIN進(jìn)行限制，每次猜解的間隔時間會越來越長，因此小編之前做過多次嘗試從未成功。
 

由于攻擊方式的局限性，以上所述的漏洞大都已經(jīng)成為歷史，現(xiàn)如今對路由器的攻擊大多轉(zhuǎn)為針對特定路由器漏洞的攻擊，并且從對無線協(xié)議弱點(diǎn)的攻擊轉(zhuǎn)向?qū)β酚善鞴碳?、Web界面的攻擊。
 

針對路由器固件的攻擊
 

近年來有不少針對路由器的攻擊，很多知名廠商紛紛中招，并且往往連累的是一個系列的產(chǎn)品，這些路由器爆出的漏洞中很多是廠商因維護(hù)需要而開設(shè)的后門，有一些則是驗證機(jī)制存在問題，被輕易繞過。
 

2016年10月，華碩路由器被P2P僵尸網(wǎng)絡(luò)程序TheMoon感染。華碩旗下RT-AC66U、RT-N66U等多款路由器中使用的ASUS WRT的infosvr中的common.c文件中存在安全漏洞，該漏洞源于程序沒有正確檢查請求的MAC地址。遠(yuǎn)程攻擊者可通過向UDP 9999端口發(fā)送NET_CMD_ID_MANU_CMD數(shù)據(jù)包利用該漏洞繞過身份驗證，執(zhí)行任意命令。
 

同月，D-Link DWR-932B LTE路由器中發(fā)現(xiàn)多個后門。研究人員發(fā)現(xiàn)了D-Link無線路由器會默認(rèn)使用兩個硬編碼的秘密賬戶(admin:admin and root:1234)運(yùn)行Telnet和SSH服務(wù)。攻擊者可以輕松地用shell命令行接入這些脆弱的路由器，然后就可以進(jìn)行中間人攻擊，監(jiān)控網(wǎng)絡(luò)流量，運(yùn)行惡意腳本更改路由器設(shè)置。而如果將字符串”HELODBG”作為硬編碼命令發(fā)送到UDP端口39889就可以利用這個后門，就可以在不經(jīng)過任何驗證的情況下在路由器上啟動一個root權(quán)限的Telnet。
 

2016年12月，Netgear多個型號路由器曝遠(yuǎn)程任意命令注入漏洞，攻擊者只需要構(gòu)造網(wǎng)站，在網(wǎng)址結(jié)尾加上命令，在未授權(quán)得情況下就能以Root權(quán)限執(zhí)行任意命令。
 

2017年2月，大量Netgear路由器被曝存在密碼繞過漏洞。用戶試圖訪問路由器的web控制界面時，需要進(jìn)行身份驗證;如果身份驗證被取消，同時密碼恢復(fù)功能被禁用了，用戶就會被重定向到一個頁面，而這個頁面會暴露密碼恢復(fù)的token。用戶提供了這個token就能獲取到路由器管理員密碼。
 

2017年4月，數(shù)十款Linksys路由器曝高危漏洞，可致遠(yuǎn)程命令執(zhí)行及敏感信息泄露。攻擊者就可以在路由器操作系統(tǒng)上以root權(quán)限注入執(zhí)行命令。黑客可能會創(chuàng)建后門賬號以長期控制路由器。后門賬號不會在web管理界面顯示，并且不能被管理員賬號刪除。
 

TheMoon僵尸程序的攻擊流量
 

盡管以上提到的案例不多，但這些廠商在路由器市場占到了半壁江山，尤其是Netgear與Linksys，根據(jù)NPD Monthly的數(shù)據(jù)顯示，NETGEAR與LINKSYS這兩家美國老牌路由器廠商成為了該市場的第一與第二名，并且市場份額超過了60%。而來自亞太地區(qū)的D-LINK等廠商則分別領(lǐng)導(dǎo)美國市場的40%份額。
 

入侵路由器后，黑客便控制了受害者的上網(wǎng)入口，之后能夠進(jìn)行的攻擊超乎想象。有些黑客會修改DNS，將它改為惡意DNS，從而可以監(jiān)控流量，植入廣告，或者進(jìn)行惡意重定向，誘導(dǎo)用戶下載惡意軟件;而有一些黑客則會利用路由器進(jìn)行更大規(guī)模的DDoS攻擊，比如TheMoon僵尸程序、針對IoT設(shè)備的僵尸網(wǎng)絡(luò)Mirai。但實(shí)際上，黑客能做的遠(yuǎn)不止這些，如果要進(jìn)行針對性的攻擊，黑客在內(nèi)網(wǎng)中進(jìn)一步進(jìn)行滲透。
 

Mirai僵尸網(wǎng)絡(luò)影響了全球范圍內(nèi)的大量主機(jī)
 

而直到現(xiàn)在，仍然有大量的路由器尚未修復(fù)漏洞，小編簡單用shodan的搜索結(jié)果進(jìn)行測試，在20個搜索結(jié)果中就找到了一臺存在漏洞的Netgear R7000路由器，要注意這是前兩頁的搜索結(jié)果，可想而知肯定有大量黑客都已經(jīng)進(jìn)行過對這些結(jié)果的檢查。
 

之所以網(wǎng)絡(luò)中仍然存在大量漏洞的路由原因就是廠商無法進(jìn)行及時的推送，路由器雖然是網(wǎng)絡(luò)的入口，卻沒有一種完善的固件更新機(jī)制能讓用戶一直使用到最新的固件，這可能是廠商亟需解決的問題。