“芝麻开门”无线攻击:针对中国锐捷网络的物联网设备漏洞
“芝麻开门”无线攻击:针对中国锐捷网络的物联网设备漏洞
原创 网空闲话 网空闲话plus 2024-12-12 23:21
综合claroty、锐捷网络、CISA网站消息,工业网络安全公司Claroty下属的team82研究发现,物联网(IoT)供应商锐捷网络的Reyee云管理平台存在10个安全漏洞,这些漏洞可能允许攻击者控制数千台连接的设备。锐捷网络设备广泛用于全球90多个国家的机场、学校等公共场所提供免费Wi-Fi。Claroty Team82的研究人员开发了名为“芝麻开门”的攻击技术,通过云基Web管理门户远程控制锐捷网络设备。这些漏洞使得攻击者能够访问设备及其连接的内部网络,全球数万台设备可能受到影响。其中三个漏洞的CVSS评分为9分或以上,包括弱口令恢复漏洞、服务器端请求伪造漏洞以及使用固有危险功能的漏洞。最严重的漏洞允许设备冒充锐捷云平台,向其他设备发送命令。研究人员预测,攻击者可能不会一次性控制大量设备,而是选择控制不同位置的特定设备,以避免引起注意。Claroty团队构建了“芝麻开门”攻击场景,展示了如何仅凭一个序列号在易受攻击的锐捷设备上执行代码。攻击者需要靠近Wi-Fi网络,嗅探网络发出的原始信标以获取设备序列号,然后利用锐捷MQTT通信中的漏洞冒充云平台发送恶意命令。研究人员希望这项研究能凸显云层的脆弱性,强调云管理的物联网设备的安全风险。team82向锐捷网络进行了负责任披露,12月6日该公司已发布漏洞公告。12月12日,team82发布技术分析报告。
漏洞概况
| 序号 | CVE编号 | 漏洞名称 | CVSS v3 评分 | CVSS v4 评分 | 描述 |
|---|---|---|---|---|---|
| 1 | CVE-2024-47547 | Weak Password Recovery Mechanism for Forgotten Password | 9.4 | 9.3 | 弱口令恢复机制使得认证容易受到暴力破解攻击 |
| 2 | CVE-2024-42494 | Exposure of Private Personal Information to an Unauthorized Actor | 6.5 | 7.2 | 允许子账户或攻击者查看和外泄注册到 Ruijie 服务的所有云账户的敏感信息 |
| 3 | CVE-2024-51727 | Premature Release of Resource During Expected Lifetime | 6.5 | 7.1 | 允许攻击者使合法用户会话失效,导致拒绝服务攻击 |
| 4 | CVE-2024-47043 | Insecure Storage of Sensitive Information | 7.5 | 8.7 | 允许攻击者关联设备序列号和用户的电话号码及部分电子邮件地址 |
| 5 | CVE-2024-45722 | Use of Weak Credentials | 7.5 | 8.7 | 使用弱凭证机制,允许攻击者轻松计算 MQTT 凭证 |
| 6 | CVE-2024-47791 | Improper Neutralization of Wildcards or Matching Symbols | 7.5 | 8.7 | 允许攻击者订阅 Ruijie MQTT 代理的部分可能主题,接收部分消息 |
| 7 | CVE-2024-46874 | Improper Handling of Insufficient Permissions or Privileges | 8.1 | 9.2 | 允许具有设备凭证的 MQTT 客户端向某些主题发送消息,攻击者可以代表 Ruijie 的云向其他设备发出命令 |
| 8 | CVE-2024-48874 | Server-Side Request Forgery (SSRF) | 9.8 | 9.3 | 允许攻击者迫使 Ruijie 的代理服务器执行攻击者选择的任何请求 |
| 9 | CVE-2024-52324 | Use of Inherently Dangerous Function | 9.8 | 9.2 | 使用固有危险函数,允许攻击者发送恶意 MQTT 消息导致设备执行任意操作系统命令 |
| 10 | CVE-2024-47146 | Transmission of Private Resources into a New Sphere ('Resource Leak') | 6.5 | 7.1 | 允许攻击者在物理邻近并嗅探 RAW WIFI 信号时获得设备的序列号 |
这些漏洞涉及Ruijie的Reyee OS版本2.206.x 至但不包括2.320.x。成功利用这些漏洞可能会使攻击者几乎完全控制设备。
漏洞利用验证–芝麻开门攻击
“芝麻开门”攻击是一种针对Ruijie云连接设备的针对性攻击,它利用了设备的云管理平台中的安全漏洞。攻击条件包括:
近距离接触
:攻击者需要与目标Ruijie接入点在物理上接近,以便嗅探Wi-Fi信标帧。
序列号泄露
:通过嗅探,攻击者能够获取设备的序列号,这是MQTT通信中用作身份验证的关键信息。
云平台漏洞
:攻击者利用Ruijie云平台中的漏洞,特别是MQTT协议的实现缺陷,来冒充云平台与设备通信。
攻击工具和方法包括:
无线诊断工具和Wireshark
:用于捕获和分析Wi-Fi信标帧,从而泄露设备的序列号。
Python脚本
:用于连接Ruijie的MQTT代理,生成设备的MQTT用户名和密码。
MQTT通信协议的漏洞利用
:攻击者通过MQTT协议的漏洞,发送恶意命令到目标设备。
攻击后果:
远程代码执行(RCE)
:攻击者能够在目标设备上执行任意代码,可能导致设备被完全控制。
内部网络访问
:通过在接入点上获得反向shell,攻击者能够访问设备的内部网络,可能进一步进行网络渗透和数据窃取。
隐私和安全风险
:内部网络的暴露可能导致敏感信息泄露,给企业和组织带来严重的安全风险。
team82团队通过”芝麻开门”攻击展示了IoT设备在云连接和管理过程中的脆弱性,尤其是在缺乏适当的安全措施时。这种攻击不仅威胁设备的安全性,还可能对整个网络环境造成严重影响。****
安全建议
锐捷报告称,这些问题已在云端得到修复,最终用户无需采取任何行动。
CISA提供了一些缓解措施,包括最小化网络暴露、使用VPN等,并建议用户采取防御措施以降低这些漏洞被利用的风险。例如:
尽量减少所有控制系统设备和/或系统的网络暴露,确保它们不能通过互联网访问。
将控制系统网络和远程设备置于防火墙后面,并将其与业务网络隔离。
当需要远程访问时,请使用更安全的方法,例如虚拟专用网络 (VPN),认识到 VPN 可能存在漏洞,应更新到最新版本。同时认识到 VPN 的安全性取决于所连接设备的安全性。
CISA 提醒各组织在部署防御措施之前进行适当的影响分析和风险评估。
关于锐捷
自2003年成立以来,已发展成为全球领先的ICT基础设施及解决方案提供商。公司在全球拥有8大研发中心,员工总数超过8000人,业务遍及90多个国家和地区,积极服务于全球客户的数字化转型。锐捷网络以其创新成果,深入政府、运营商、金融、教育、医疗等多个行业,推动行业信息化建设,助力客户实现数字化转型和价值升级。公司与行业内头部客户建立了深度合作关系,服务超过1000家金融机构、100%的双一流高校、60%的全国百强医院以及超过200家中国500强企业。在技术创新方面,锐捷网络凭借强大的自主创新能力,其网络设备及云桌面业务市场地位稳固,在多个领域稳居市场前列。根据IDC数据,2019年至2023年,锐捷网络在中国以太网交换机市场占有率排名第三,2023年中国企业级WLAN市场出货量排名第一,其中Wi-Fi 6产品出货量连续五年排名第一,2023年中国本地计算云终端市场份额排名第一,2019年至2023年中国本地计算IDV云桌面市场占有率连续三年排名第一。
参考资源
1、https://claroty.com/team82/research/the-insecure-iot-cloud-strikes-again-rce-on-ruijie-cloud-connected-devices
2、https://www.darkreading.com/ics-ot-security/iot-cloud-cracked-open-sesame-attack
3、https://www.ruijie.com.cn/gy/xw-aqtg-cw/94367/
4、https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-01