用維陣還原 Zyxel 後門漏洞

原創

2021-01-30 11:04

作者：km1ng@極光無限維陣漏洞團隊
原文鏈接：https://mp.weixin.qq.com/s/Ol3B3PFLLXLFF8ThA9nxEg

一、簡介

荷蘭網絡安全公司Eye Control的安全研究人員發現，超過10萬個合勤科技（Zyxel）公司的防火牆、接入點控制器和VPN網關產品中存在管理員級後門賬戶。這些在二進制代碼中硬編碼的管理員級別賬戶使攻擊者可通過Web管理面板或SSH界面獲得對設備的root訪問權限。合勤科技（Zyxel）是一家位於中國臺灣新竹的網絡設備製造商。 Zyxel固件中發現的後門漏洞cve編號爲cve-2020-29583等分爲7.8 CVSS

二、影響範圍

cve官網上表示USG設備4.60，真實影響範圍如下：

zyxel:ap_controller_nxc_2500: zyxel:ap_controller_nxc_5500: zyxel:atp_firmware: 4.60 zyxel:usg_firmware: 4.60 zyxel:usg_flex_firmware: 4.60 zyxel:vpn_firmware: 4.60

三、固件後門分析

3.1、固件下載

下載鏈接：https://portal.myzyxel.com/my/firmwares

需要註冊賬戶登錄，選擇USG40固件，4.60版本下載。如下圖所示

下載後固件是一個名爲firmware.zip的壓縮包，將這個壓縮包放入ubuntu虛擬機下。

3.2、固件解壓

使用unzip firmware.zip解壓壓縮包，可以看到解壓出如下文件。

其中的460ABUH1C0.bin就是需要解壓的固件。直接使用binwalk -e 解壓,會發現解壓的全部文件裏面內容是空的。

使用file命令查看這個bin文件，發現他是一個zip壓縮包文件。將這個bin文件移動到windows下使用7-zip查看目錄文件結構。

我們是可以得到一些固件中的信息的，如文件大小等。解壓firmware.zip的不只解壓出來bin文件，還有其他的一些conf、pdf文件。使用7z工具打開bin文件在裏面尋找.conf、pdf後綴文件，第一個就發現了大小爲30181的文件，ubuntu下查看解壓出來的460ABUH1C0.conf也是30181的大小，現在猜測這兩個文件是相同的。

3.3、固件解密

使用pkcrack包進行解密，解密方式爲明文攻擊，這裏不對明文攻擊進行詳細闡述。pkcrack包在附件給出，解壓後進入src目錄，直接make即可。

將zyxel.sh腳本和460ABUH1C0.bin放在同一級目錄，命令：

sudo ./zyxel.sh 460ABUH1C0

可以將固件解壓出來，解密過程大概會在20秒左右，zyxel.sh也會在附件中給出。

解壓完成後，發現當前目錄下有cracked.zip壓縮包，直接解壓即可得到460ABUH1C0.bin中的內容，可以看到裏面有compress.img文件這個纔是我們最終需要解壓的固件，直接使用binwalk -e指令即可。

可以使用file指令查看一下這個文件，會發現Squashfs filesystem。

3.4、搜索後門

因爲已爆出了後門賬戶的賬號和密碼，這裏直接使用grep指令搜索，grep -rn "PrOw\!aN_fX" 搜索的密碼時候，其中“！”是需要進行轉義並不是密碼裏有“\”字符。打開匹配到的usr/local/bin/capwap/capwap_srv二進制文件。將這個文件取出，放入ida中分析。

四、維陣固件分析

上訴這種情況大概率就是一個後門賬戶了，現在是已知賬號密碼可以使用搜索指令確定位置，如何在未知固件中快速發現這種後門賬戶。

出現上訴類似情況大概率是一個後門賬戶，據有很高的分析價值。現在是已知賬號密碼可以使用搜索指令確定其位置。在一個未知固件中找到漏洞、定位漏洞的具體位置是一個費時費力的工程。維陣平臺，可以自動化的分析出容易出現問題的位置，將感興趣的文件列舉出來如一些賬號密碼文件，固件的目錄結構、組件、判斷程序是否開啓保護機制等。

進入compress.img解壓出來的_compress.img.extracted目錄，使用7z壓縮squashfs-root爲一個zip包取出，上傳到維陣平臺。