漏洞预警 | Teltonika路由器存在远程命令执行漏洞（CVE-2018-17532）

2018年10月中旬，白帽汇安全研究院监测到网络上出现了Teltonika路由器远程命令执行漏洞。该漏洞是由于RUT9XX路由器设备中某些文件存在接受外部输入的参数，而且这些参数在接收用户输入后，并没有检查其中是否有敏感字符，而是直接带入命令执行函数。攻击者只需要往存在漏洞的页面直接提交含有引号、分号等敏感字符的数据，就可以使程序执行攻击者的命令，使这些路由设备变成肉鸡，成为僵尸网络中的一员，亦或者是挤占设备CPU进行挖矿，造成大量经济损失。

Teltonika多样设备在全球占据极大市场

Teltonkia公司成立于1998年，是立陶宛的一家老牌的基于卫星的监控跟踪硬软件制造商。其不仅提供广泛了人和车跟踪设备，并且还有路由器，IOT等万物互联设备。在全球硬件制造商的经济增速排名长期处于前十。

Teltonika公司提供多种网络设备

概况

目前FOFA系统最新数据（一年内数据）显示全球范围内共有45518个Teltonkia设备处于公网。瑞典使用数量最多，共有6079台，意大利第二，共有5649台，德国第三，共有4562台，荷兰第四，共有3822台，西班牙第五，共有3769台。白帽汇安全研究院抽样检测发现全球存在该硬编码密码漏洞的比例为百分之10。需要注意的是，还有很多处于物联网设备网站并没有公网ip，不能统计的到。

全球范围内Teltonika设备分布情况（仅为分布情况，非漏洞影响情况）

目前尚未确认在中国的Teltonkia设备。

危害等级

严重

漏洞原理

CVE-2018-17532

漏洞原因在于Teltonkia路由设备中的autologin.cgi和 hotspotlogin.cgi文件中的多个参数都会接受外来输入，并在未经过安全过滤的情况下直接带入系统命令执行函数。攻击者可在未授权的情况下直接输入分号和引号等敏感字符，写入自己的命令，形成远程命令执行。

存在漏洞的页面以及有缺陷的输入参数

某个输入的参数到命令执行函数中间没有安全过滤

这次的远程命令执行虽然没有回显，但我们通过DNSLog等手段可以间接看到执行结果。

ping命令的dnslog部分记录(个别案例仅作为安全研究测试用)

漏洞影响

目前漏洞影响版本号包括：

固件版本低于RUT9XX_R_00.04.233的所有Teltonika RUT9XX路由

影响范围

结合FOFA系统，白帽汇安全研究院抽样检测发现全球存在CVE-2018-17532漏洞的比例为百分之10。

漏洞POC

目前FOFA客户端平台已经更新CVE-2018-17532检测POC。

CVE-2018-17532 POC截图

CVE编号

CVE-2018-17532

修复建议

1、对路由器的访问作权限控制，只允许少数ip访问设备。

2、及时把路由器更新到固件的最新版本。官网下载地址： https://wiki.teltonika.lt/index.php?title=RUT9xx_Firmware

白帽汇会持续对该漏洞进行跟进。后续可以持续关注链接 https://nosec.org/home/detail/1901.html 。

参考

[1] https://cxsecurity.com/issue/WLB-2018100121

[2] https://teltonika.lt/

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。