在最近的供應(yīng)鏈安全評(píng)估中，虹科Vdoo分析了多個(gè)網(wǎng)絡(luò)設(shè)備的安全漏洞和暴露。在分析過(guò)程中，我們發(fā)現(xiàn)并負(fù)責(zé)地披露了這些設(shè)備所基于的高通QCMAP（移動(dòng)接入點(diǎn)）體系結(jié)構(gòu)中的四個(gè)主要漏洞。利用這些漏洞，攻擊者可以獲得對(duì)任何受影響設(shè)備的遠(yuǎn)程根訪問(wèn)權(quán)。

QCMAP架構(gòu)在高通的調(diào)制解調(diào)器soc上普遍使用，如MDM9xxx系列。通過(guò)預(yù)估，本文揭露的四個(gè)安全漏洞可能會(huì)影響數(shù)以百萬(wàn)計(jì)的不同類型的設(shè)備。

在這篇文章中，我們將討論漏洞的技術(shù)細(xì)節(jié)、發(fā)現(xiàn)過(guò)程并提供檢測(cè)和解決問(wèn)題的指導(dǎo)。下面詳細(xì)介紹的第一個(gè)和第二個(gè)漏洞已經(jīng)被高通分配了相同的CVE編號(hào)（CVE-2020-3657），并在具有嚴(yán)重影響的Android安全公告中列出（Android bug id A-153344684）。

HONG KE IIOT

- 01 -

高通QCMAP技術(shù)背景

高通生產(chǎn)的soc的MDM（移動(dòng)數(shù)據(jù)調(diào)制解調(diào)器）系列在一個(gè)包中提供各種移動(dòng)連接特性。

在許多基于MDM的設(shè)備上運(yùn)行的軟件套件之一是QCMAP套件。QCMAP （Qualcomm Mobile Access Point）是一套負(fù)責(zé)在移動(dòng)接入點(diǎn)上運(yùn)行多項(xiàng)服務(wù)的軟件套件，包括以下關(guān)鍵組件：

一個(gè)輕量級(jí)的基于pd的web界面（包含專有的CGI腳本和認(rèn)證機(jī)制）

基于minidlna的媒體服務(wù)器（支持UPnP和mDNS自動(dòng)配置）

基于iptables的防火墻接口

使用QCMAP的調(diào)制解調(diào)器芯片組廣泛應(yīng)用于各種產(chǎn)品類型和行業(yè)，包括網(wǎng)絡(luò)設(shè)備，如移動(dòng)熱點(diǎn)和LTE路由器；汽車信息娛樂(lè)/TCU單元；用于工業(yè)設(shè)備的智能適配器、智能計(jì)量設(shè)備、智能醫(yī)療設(shè)備和物聯(lián)網(wǎng)網(wǎng)關(guān)。

通過(guò)一個(gè)專用的命令行接口，由QCMAP_CLI二進(jìn)制文件實(shí)現(xiàn)：

我們已經(jīng)在許多設(shè)備固件圖像中看到了QCMAP的實(shí)現(xiàn)，例如已經(jīng)經(jīng)過(guò)分析的以下模型：

1.中興通訊MF920V

2.TP-Link M7350（在該設(shè)備中，QCMAP二進(jìn)制文件被修改，沒(méi)有發(fā)現(xiàn)漏洞）

3.美國(guó)網(wǎng)件公司AC785

- 02 -

供應(yīng)鏈安全評(píng)估的發(fā)現(xiàn)

這些問(wèn)題突出了識(shí)別和評(píng)估供應(yīng)鏈對(duì)安全的重要程度。該問(wèn)題是在虹科Vdoo分析作為作戰(zhàn)網(wǎng)絡(luò)的一部分，部署在現(xiàn)場(chǎng)的固件圖像時(shí)發(fā)現(xiàn)的。這些設(shè)備是由第三方高通調(diào)制解調(diào)器的設(shè)備供應(yīng)商開(kāi)發(fā)的，網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)第三方組件的使用或其潛在的漏洞（已知和未知）一無(wú)所知。

這一發(fā)現(xiàn)還展示了自動(dòng)深入二進(jìn)制分析在識(shí)別新的零日漏洞（即使是在閉源組件中）方面的威力和價(jià)值。在這種情況下，運(yùn)營(yíng)商使用Vdoo平臺(tái)對(duì)從供應(yīng)商接收到的固件圖像進(jìn)行自動(dòng)分析。

平臺(tái)為設(shè)備生成完整的SBOM （software bill of materials），包括第一方和第三方部件。所有的設(shè)備軟件組件，包括高通的QCMAP二進(jìn)制文件，都被掃描和分析潛在的零日漏洞。虹科Vdoo研究團(tuán)隊(duì)對(duì)這些潛在漏洞進(jìn)行了驗(yàn)證，并向高通披露以減輕風(fēng)險(xiǎn)。

- 03 -

漏洞細(xì)節(jié)

本文共披露四個(gè)安全漏洞，分別為：

VD-1873 / CVE-2020-3657 -命令注入漏洞（CVSSv3 8.8）

VD-1871 / CVE-2020-3657 -棧緩沖區(qū)溢出漏洞（CVSSv3 7.6）

VD-1872 / CVE-2020-25858 - NULL指針異常漏洞（CVSSv3 6.5）

VD-1874 / CVE-2020-25859 -命令注入漏洞（CVSS v3 7.9）

具體漏洞細(xì)節(jié)請(qǐng)點(diǎn)擊閱讀原文進(jìn)行查看。

- 04 -

風(fēng)險(xiǎn)評(píng)估

據(jù)我們所知，這些漏洞還沒(méi)有被大肆利用，因此還沒(méi)有對(duì)已部署的設(shè)備造成任何具體的安全威脅。然而，正如上面的問(wèn)題證明章節(jié)所顯示的那樣，只要具備技術(shù)知識(shí)，利用漏洞進(jìn)行攻擊是輕而易舉的。我們將繼續(xù)密切監(jiān)控任何濫用該漏洞的行為，并通過(guò)Vision的威脅情報(bào)feed Whistler向Vdoo Vision用戶發(fā)出警報(bào)。

- 05 -

識(shí)別脆弱的設(shè)備

據(jù)我們所知，由于這些易受攻擊的文件沒(méi)有可識(shí)別的版本信息，所以這個(gè)問(wèn)題并不能直接檢測(cè)出來(lái)。如果您可以訪問(wèn)一個(gè)正在運(yùn)行的設(shè)備，按照以下步驟檢查您的設(shè)備是否容易受到攻擊：

1.通過(guò)嘗試直接連接或?qū)ο嚓P(guān)端口執(zhí)行端口掃描，驗(yàn)證設(shè)備正在運(yùn)行web服務(wù)器。

2.成功登錄到web服務(wù)器（允許cookie）后，您的瀏覽器將在設(shè)備上有一個(gè)有效的會(huì)話。

3.在嘗試執(zhí)行VD-1871的PoC。如果QCMAP_Web_CLIENT進(jìn)程似乎崩潰（例如，web服務(wù)器超時(shí)），您的設(shè)備是脆弱的。
4.對(duì)VD-1872重復(fù)上述步驟，調(diào)用PoC并檢查崩潰，對(duì)VD-1873調(diào)用PoC并檢查響應(yīng)中的延遲。

5.找到QCMAP_Web_CLIENT二進(jìn)制文件并檢查其SHA-256是否為以下其中之一：

71311beee4c761f85d46eaadab475541455adbd135f3c868c0800b1703378755

5f19143efa90161bde6eb129f7b43bdf0a25e86ae7a749dc13b7ea645aa590f5

e6d505c80de7ccce0cf297715f67e0efbbc30e7427a846ea04d64af1a9e77dae

0079e76c4c9ca3668789fd4c58c24e66519365c86479f0d7477980d0b6422eed

0a51f755716a688225573ca4cae469acdf6c6350d83d19098580e8e295692668

如果是的話，你的設(shè)備可能會(huì)受到攻擊。

6.如果您運(yùn)行的是基于高通MDM的Android設(shè)備，請(qǐng)確保您的安全補(bǔ)丁級(jí)別更新到2020年10月（或更新）。

虹科Vdoo平臺(tái)作為平臺(tái)安全分析能力的一部分，能夠通過(guò)自動(dòng)掃描設(shè)備二進(jìn)制圖像，快速檢測(cè)設(shè)備暴露于上述問(wèn)題。如果您懷疑自己可能會(huì)受到攻擊，請(qǐng)隨時(shí)聯(lián)系我們尋求幫助。

- 06 -

減輕受影響設(shè)備上的漏洞

如果您的設(shè)備被發(fā)現(xiàn)存在漏洞，且無(wú)法更新或修補(bǔ)固件，則可采用以下緩解技術(shù)：

1.如果你的設(shè)備不需要連接網(wǎng)絡(luò)，考慮斷開(kāi)連接。

2.如果設(shè)備必須連接到網(wǎng)絡(luò)，請(qǐng)確保通過(guò)防火墻阻止對(duì)web端口的訪問(wèn)，并確保這些端口不被轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)。

3.如果您可以在外圍保護(hù)后部署一個(gè)包含WAF的設(shè)備，請(qǐng)將其配置為檢查包含40個(gè)以上查詢參數(shù)的url。

編輯：jq