从CVE-2023-3450看锐捷RG-BCR860路由器：一次网络诊断功能引发的命令注入实战剖析

1. 漏洞背景与设备介绍

锐捷RG-BCR860是面向中小型商业场景设计的云路由器，主打简单易用的中文Web管理界面。这款设备常见于连锁餐饮、快捷酒店等需要稳定网络环境的场所，最大支持150台终端同时接入。作为一款商用设备，它内置了安全审计模块和营销功能，但正是这样一个看似安全的设备，却因为网络诊断页面的设计缺陷，暴露了严重的命令注入漏洞。

我第一次注意到这个漏洞是在分析路由器日志时，发现某些特殊字符会触发异常响应。深入研究后发现，问题出在2.5.13及以下版本的固件中，攻击者无需特殊权限，只需获得后台访问权限（默认密码admin）就能利用这个漏洞。这让我想起去年审计过的另一款设备，同样是Web界面参数过滤不严导致的问题，看来这确实是嵌入式设备的通病。

2. 漏洞触发原理深度解析

2.1 网络诊断功能的工作机制

路由器的"Tracert检测"功能本应只接受IP地址或域名作为输入，用于诊断网络连通性。但在RG-BCR860的实现中，开发人员直接拼接用户输入到系统命令：

traceroute [用户输入] > /tmp/result.txt

正常情况下，输入"www.example.com"会生成合法命令。但当输入包含分号时，系统会将其识别为命令分隔符。比如输入"127.0.0.1;ls"，实际执行的命令就变成了：

traceroute 127.0.0.1;ls > /tmp/result.txt

这就导致除了traceroute外，ls命令也会被执行。更危险的是，输出重定向只作用于最后一个命令，使得攻击者能够直接看到命令执行结果。

2.2 命令注入的细节分析

在实际测试中，我发现这个漏洞有几个值得注意的特性：

1. 延迟执行现象：首次注入命令后，返回的是前一次命令的结果。这可能是由于结果缓存机制导致的，需要连续发送两次请求才能获取正确输出。

2. 字符过滤缺失：除了分号，管道符(|)、与符号(&)等都能被解析为命令控制字符。我测试过输入"127.0.0.1|cat /etc/passwd"，同样可以获取敏感文件内容。

3. 权限问题：Web服务以root权限运行，意味着注入的命令拥有设备最高权限。我曾通过注入"id"命令确认这一点，返回的uid=0证实了这一点。

3. 漏洞复现实战演示

3.1 环境准备与基础配置

要复现这个漏洞，你需要准备以下环境：

• 运行固件版本≤2.5.13的RG-BCR860路由器
• 浏览器访问路由器管理界面（默认地址192.168.110.1）
• 基础网络知识和对Linux命令的了解

登录后台后，左侧菜单找到"网络诊断"选项。这里有个细节需要注意：不同浏览器对特殊字符的处理方式不同。我推荐使用Firefox或Chrome，它们在URL编码方面表现更稳定。

3.2 分步注入过程详解

1. 基础注入测试： 在Tracert检测地址栏输入：

   127.0.0.1;echo test123

   点击开始检测后，如果返回结果中包含"test123"，说明注入成功。

2. 文件系统探查： 尝试列出当前目录：

   127.0.0.1;ls -al

   这个命令会显示Web服务的工作目录，通常可以找到配置文件。

3. 权限提升验证： 输入：

   127.0.0.1;cat /etc/shadow

   如果返回密码哈希，说明已获得root权限。

在实际测试中，我发现结果返回有约3秒的延迟。为了提高效率，可以同时开两个浏览器标签页交替发送请求。另外，某些特殊字符需要URL编码，比如空格要替换为%20。

4. 防御措施与修复建议

4.1 临时缓解方案

如果暂时无法升级固件，可以采取以下措施降低风险：

1. 修改默认凭证：立即更改admin密码，建议使用16位以上包含大小写字母、数字和特殊字符的组合。

2. 网络隔离：将管理界面限制在内网访问，可以通过防火墙规则禁止WAN口访问管理端口。

3. 输入过滤：虽然无法直接修改设备代码，但可以在前置设备上部署WAF，过滤包含特殊字符的请求。

4.2 长期解决方案

锐捷官方已发布修复补丁，建议所有用户立即升级到最新固件。新版本主要做了以下改进：

1. 输入验证：严格限制网络诊断功能只接受IP和域名格式的输入。

2. 命令白名单：使用预定义命令模板替代动态拼接，彻底杜绝命令注入可能。

3. 权限分离：Web服务改用非root账户运行，降低漏洞被利用后的影响范围。

从我跟踪的情况看，升级后的设备在相同测试条件下已无法复现漏洞。不过还是建议定期检查设备日志，监控异常访问行为。