ZTE SOHO ROUTERWEB_SHELL_CMD.GCH 远程命令执行漏洞

### 漏洞概要 2014 年 3 月 3 日，Rapid7 团队发布了中兴 F460 / F660 后门信息[1](https://community.rapid7.com/community/infosec/blog/2014/03/03/disclosure-r7-2013-18-zte-f460-and-zte-f660-webshellcmdgch-backdoor)，任何可以访问设备的用户都可以直接访问一个命令执行的 Web 界面，以 root 权限执行任意命令。 上述设备在中国境内被广泛应用，俗称“电信光猫”。 <br> ### 漏洞描述 ZTE 生产的 SOHO Router 的一些型号中，Web 根目录（/home/httpd ）下存在 /web_shell_cmd.gch 文件，没有任何访问控制，可以直接执行任意系统命令。 以下几点值得注意： * Rapid7 于 2014 年 3 月 3 日公布此漏洞，但是根据搜索结果，此问题早在 2012 年就被人发现，并被当做了破解 ISP 限制的方法在网上公布[2]，但是文章重点是介绍了配置命令的用法，对此漏洞只是一笔带过。2013 年也已经有人研究过漏洞相关文件[3]。 * 经过验证，此漏洞不止存在于 Rapid7 公开的两个型号（ F460 / F660 ）的设备中，其他型号也存在此问题（主要有 F412、F420、F460、F660、ZXA10F460 等）。且描述中的两个型号也不一定存在此漏洞，可能与电信装机时的配置有关。 * 通过此漏洞，远程攻击者可以直接控制设备，修改任意设置。这些设备提供了修改设置的命令行工具，可以直接利用此漏洞通过一个请求就能实现 DNS 劫持等功能。命令参考：http://www.myxzy.com/post-342.html。 * 此漏洞也可以通过 CSRF 方式利用，且无路由器中的常见的基础认证。 <br> **示例代码：** --- 1 ：https://community.rapid7.com/community/infosec/blog/2014/03/03/disclosure-r7-2013-18-zte-f460-and-zte-f660-webshellcmdgch-backdoor 2：http://www.myxzy.com/post-342.html 3 ：http://www.chinadsl.net/forum.php?mod=viewthread&tid=101727  可以执行的命令可以参考上一条提供的链接。 <br> ### 漏洞验证 可以使用如下方法来检查设备是否存在此漏洞： 访问：http://ip/web_shell_cmd.gch 即可执行任意命令。  <br> ### ZoomEye分析概要 来自知道创宇的 ZoomEye 团队（钟馗之眼网络空间探知系统）通过几种方式的组合检测，得到了些影响结论。 Zoomeye 搜索 ZTE 设备： http://www.zoomeye.org/search?q=%22Mini+web+server+1.0+ZTE%22&t=host **注意：以下这些影响都是可被直接远程攻击的，属于高危级别！** Zoomeye 线上的数据总数 33059 台开放了 Web 服务的中兴设备, 有 1072 受此漏洞影响。 <br> ### 相关资源链接 1.ZTE 官网：http://www.zte.com.cn 2.知道创宇官网：http://www.knownsec.com/ 3.知道创宇旗下 - ZoomEye 官网：http://www.zoomeye.org/ 4.知道创宇旗下 - 加速乐云防御平台官网：http://www.jiasule.com/