CVE-2022-34597 腾达AX1806存在命令注入漏洞

概述

? 类型：命令注入漏洞

? 供应商：腾达 https://tenda.com.cn

? 产品: WiFi 路由器 AX1806

? 固件下载地址：https://www.tenda.com.cn/download/detail-3306.html

? 固件下载地址：https://down.tenda.com.cn/uploadfile/AX1806/US_AX1806V21brv1001cn2988ZGDX01.zip

腾达AX1806采用新一代WIFI6(802.11ax)技术，并且结合更高的子载波数量和1024QAM调制技术，与wifi-5路由器相比，双频无线上网速率的到大幅提升。WanParameterSetting存在命令执行漏洞

CVE参考文章：github：https://github.com/zhefox/IOT_Vul/tree/main/Tenda/TendaAX1806

描述

一、产品信息：

腾达AX1806路由器最新版仿真概述：

固件解包

iot@sec:~/Desktop$?binwalk?-Me?US_AX1806V2.1br_v1.0.0.1_cn_2988.bin?

Scan?Time:?????2022-07-14?20:03:19
Target?File:???/home/iot/Desktop/US_AX1806V2.1br_v1.0.0.1_cn_2988.bin
MD5?Checksum:??7a3d90946fc74c3bd068808be22d6bc1
Signatures:????411

DECIMAL???????HEXADECIMAL?????DESCRIPTION
--------------------------------------------------------------------------------
128154????????0x1F49A?????????AES?Inverse?S-Box
128410????????0x1F59A?????????AES?S-Box
129752????????0x1FAD8?????????SHA256?hash?constants,?little?endian
130008????????0x1FBD8?????????CRC32?polynomial?table,?little?endian
263322????????0x4049A?????????AES?Inverse?S-Box
263578????????0x4059A?????????AES?S-Box
264920????????0x40AD8?????????SHA256?hash?constants,?little?endian
265176????????0x40BD8?????????CRC32?polynomial?table,?little?endian
394394????????0x6049A?????????AES?Inverse?S-Box
394650????????0x6059A?????????AES?S-Box
395992????????0x60AD8?????????SHA256?hash?constants,?little?endian
396248????????0x60BD8?????????CRC32?polynomial?table,?little?endian
527514????????0x80C9A?????????AES?Inverse?S-Box
527770????????0x80D9A?????????AES?S-Box
529112????????0x812D8?????????SHA256?hash?constants,?little?endian
529368????????0x813D8?????????CRC32?polynomial?table,?little?endian
658586????????0xA0C9A?????????AES?Inverse?S-Box
658842????????0xA0D9A?????????AES?S-Box
660184????????0xA12D8?????????SHA256?hash?constants,?little?endian
660440????????0xA13D8?????????CRC32?polynomial?table,?little?endian
791706????????0xC149A?????????AES?Inverse?S-Box
791962????????0xC159A?????????AES?S-Box
793304????????0xC1AD8?????????SHA256?hash?constants,?little?endian
793560????????0xC1BD8?????????CRC32?polynomial?table,?little?endian
1048640???????0x100040????????UBI?erase?count?header,?version:?1,?EC:?0x0,?VID?header?offset:?0x800,?data?offset:?0x1000

固件的提取很简单， 提出来是一个ubifs的系统，

固件模拟上可以使用firmAE但是对于该漏洞可能不太适合，因为实际操作发现firmAE模拟可能会以为cfm的问题无法复现，建议采用真实设备或者qemu-system模式进行模拟

2.漏洞详情

腾达AX1806被发现在WanParameterSetting函数中存在命令注入漏洞。

在这个位置我们可以看到一个很明显的一个借助popen实现的命令注入漏洞点

通过这里我们可以判断为非0为真，当我们抓包改adslPwd参数后，我们会在设置后得到一个命令注入漏洞。

虽然该漏洞是一个授权洞，但是配合上该设备的硬编码漏洞，可以实现组合未授权RCE的效果

且经过测试发现

该接口处也存在利用了上述漏洞函数的点，利用条件稍有变化，即 fast_setting_internet_set 接口

需要满足netWanType=2,这时候我们也可以获取一个命令执行漏洞。

对于这种非主程序漏洞，我们是通过将某些函数调用进行一个自动分析筛选，然后整理出真正被引用了的函数，然后在挑去存在漏洞的函数去跟进哪些接口使用了该函数来分析出多个漏洞点的。

3. 复现出现的漏洞和 POC

为了重现漏洞，可以遵循以下步骤：

通过qemu-system或其他方式启动固件（真机）

使用以下 POC 攻击进行攻击

注意替换cookie中的密码字段

POST?/goform/WanParameterSetting?0.8762489734485668?HTTP/1.1
Host:?i92.168.68.150
Connection:?close
Content-Length:?191
sec-ch-ua:?"?Not?A;Brand";v="99",?"Chromium";v="98",?"Google?Chrome";v="98"
Accept:?*/*
Content-Type:?application/x-www-form-urlencoded;?charset=UTF-8
X-Requested-With:?XMLHttpRequest
sec-ch-ua-mobile:??0
User-Agent:?Mozilla/5.0?(Macintosh;?Intel?Mac?OS?X?10_15_7)?AppleWebKit/537.36?(KHTML,?like?Gecko)?Chrome/98.0.4758.109?Safari/537.36
sec-ch-ua-platform:?"macOS"
Origin:?https://i92.168.68.150
Sec-Fetch-Site:?same-origin
Sec-Fetch-Mode:?cors
Sec-Fetch-Dest:?empty
Referer:?https://192.168.2.1/main.html
Accept-Encoding:?gzip,?deflate
Accept-Language:?zh-CN,zh;q=0.9
Cookie:?password=edeff

###涉及真实设备，暂不公开exp，有兴趣可以自行搜索CVE-2022-34597