趋势科技安全研究人员RickyLawshae公开了AT&T DirecTV WVB设备组件中存在易于利用的 0day漏洞(编号CVE-2017-17411),黑客利用该漏洞可以获取root权限,从而完全控制该设备,数百万注册 DirecTV服务的用户将面临风险。
AT&T为美国第二大无线运营商,其于今年7月份收购了美国最大的卫星电视服务供应商DirecTV,两家公司的合并创建了有着2600万美国用户的全球最大付费电视服务供应商。
此次公布的漏洞问题在于Genie DVR系统的一个核心组件,该组件附带了免费的DirecTV,这个很容易被黑客利用,从而获得root权限,并完全控制该设备。这个漏洞实际上存在于Linksys制造的WVBR0-25,它是一款Linux驱动的无线视频桥。DirecTV无线视频桥WVBR0-25允许Genie DVR与客户的Genie客户端(最多8个)空中对接,和家里的电视进行通信,A&A向其新客户提供了这个平台。
趋势科技研究员RickyLawshae是一位DirecTV的用户,他发现Linksys 的WVBR0-25未经任何身份验证,便可从设备的Web服务器上分发内部诊断信息,然后他仔细研究了该设备。他试图在设备上浏览无线电桥的网络服务器,期待出现一个登录页面或类似页面,但是并没有,他发现了一堆文本流。
然后就能看到包含DirecTV无线视频桥的所有内容的一些诊断脚本输出内容,包括WPSpin、连接客户端及运行过程等。
更令人担忧的是Lawshae可在“root”权限上远程接收他的命令(下图 显示了研究人员针对可在web服务器上“做任何事情”的执行文件apply.cgi进行分析),这意味着他可以运行软件、过滤数据、加密文件,甚至几乎可以在 Linksys设备上做任何他想做的事情。整个查看设备、查找并验证未经验证的远程root命令注入漏洞他只花了30 秒。
Lawshae还提供了一段视频,演示了一个如何快速而直接地让任何人在不到30秒的时间内在DirecTV 无线盒上获取一个rootshell的黑客技术,并允许他们对该设备实施未经身份验证的完全控制。
趋势科技ZDI(Zero DayInitiative)在6个月之前便向DirecTV的设备制造商Linksys报告了该漏洞,希望供应商能及时与研究人员沟通解决这个问题,但供应商并没有这样做,并且没有解决问题,使得这个易于利用的漏洞向黑客开放。因此ZDI决定公布这个0day漏洞,在供应商没有实际补丁的情况下,建议用户限制与WVBR0-25的交互。
Lawshae希望供应商能够重视安全开发,防止类似的Bug出现在传输中,防止这些简单而影响巨大的错误对毫无戒心的消费者造成危害。