某型号路由器的缓冲区溢出就能危及成千上万的WiFi用户

公共无线网络的隐私和安全危害有了完美例证，一名以色列黑客展示了他拿下整座城市免费WiFi网络的能力。

某天，在从公司回家的路上，以色列网络安全公司 Equus Technologies 的研究主管阿米哈伊·内德曼，发现了一个他之前从未见过的无线热点。不同寻常的是，该热点竟然出现在根本没有建筑物的区域。

最后他发现，这个广播成“FREE_TLV”的热点，是以色列特拉维夫当地政府设立的城域免费WiFi网络。这让内德曼好奇：到底有多安全呢？

接下来的几周里，找出侵入该网络的途径就成了他业余时间的副业。首先，他从遍布全城的接入点之一连进网络，核对他的新IP地址。这地址通常是分配给所有WiFi客户端访问互联网都要经过的路由器的。

然后，他断开连接，从互联网扫描该IP地址以找出开放端口。他发现，该路由器在443端口(HTTPS)开放了一个基于Web的登录界面。

该界面显示了制造商的名称——Peplink，但除此之外就没别的了，设备型号这些都没有。对该Web界面的分析并没有揭露任何基本漏洞，比如SQL注入、默认或弱登录凭证、身份验证绕过漏洞等。

他意识到，对该设备的实际固件进行更深入的分析是必要的。但识别该设备，找到该从制造商官网下载哪种具体固件并不容易，因为Peplink为各种行业提供很多类型的网络设备。不过，他最终锁定了Peplink的 Balance 300 高端负载均衡路由器第5版。

该固件采用了基本的异或加密来让第三方更难以逆向固件文件系统，但该方式相对容易被绕过。一旦所有东西都未封包并载入模拟器，内德曼就可以访问构成该路由器Web界面的CGI(通用网关接口)脚本。

内德曼在处理注销过程的CGI脚本中找到缓冲区溢出漏洞并没有花去太多时间。只需向该脚本发送超长会话cookie，漏洞就可被利用，成功的利用会导致任意代码执行，最终接管整个设备。

11月10号在罗马尼亚首都布加勒斯特举行的DefCamp安全大会上，内德曼展示了他的发现及逆向过程。因为可能会触及法律纠纷，他并没有说明是否在运营特拉维夫公共WiFi网络的 Peplink Balance 路由器上进行了实际漏洞利用测试。

然而，当他向Peplink报告该漏洞时，这家公司确认了漏洞，却是在后续发布的固件更新中才打上补丁。所以，在内德曼发现该漏洞时，FREE_TLV的路由器固件确实是脆弱的。

虽然在路由器中发现漏洞并不少见，但此案例依然十分突出，因为它显现出可以通过黑掉市政设立的大型公共WiFi网络，攻击成千上万的用户。

通过控制路由器，攻击者可偷偷窥探流经该设备的所有未加密用户流量，捕获敏感信息。他们还可以发起活动攻击，比如在用户访问合法网站时重定向用户到流氓Web服务器，或者注入恶意代码到非HTTPS网页中。

大型网络通常都是标准化的，采用同型号的设备以便于管理。可供侵入其中一个接入点的漏洞，就能用在整个网络中所有的接入点上。

此类攻击，就是为什么用户被强烈建议在从公共或不可信WiFi网络接入互联网时，要采用VPN(虚拟专用网)服务的原因所在。

内德曼表示，他惊讶于Peplink对其报告的响应，以及该公司处理漏洞的方式。他强调，网络中路由器的不安全部署方式，也有可能促成此类攻击。他们的管理界面不应该暴露在互联网上。