0day na VPNy/firewalle Draytek: bezsensowne deszyfrowanie RSA doprowadziło do możliwości przejęcia urządzeń

Jedni powiedzą – ciekawa, nietypowa podatność, inni stwierdzą – w świecie IoT można spodziewać się wszystkiego – nuda ;) W każdym razie zobaczcie na te podatności (wykorzystywane już w realnych kampaniach). W szczególności zwracam uwagę na jedną z nich.

Urządzenia Draytek (Vigor2960/3900/300B) mają możliwość logowania się „normalnym” loginem i hasłem (standard) ale jest też opcja korzystania z RSA. W tym przypadku przeglądarka szyfruje kluczem publicznym zarówno login i hasło, a urządzenie to deszyfruje (kluczem prywatnym). W czym problem? Na razie w niczym ;) Ale po stronie serwerowej obsługiwany jest jeszcze dodatkowy parametr – keyPath, który może podać użytkownik i który jest używany do ustalenia ścieżki położenia klucza prywatnego. Wygląda to tak:

/tmp/rsa/private_key_<keyPath>

Czy bardziej dokładnie, urządzenie wykonuje następujące polecenie:

Wartość keyPath (oczywiście) nie jest w żaden sposób walidowana, więc ktoś mógłby ustawić jej np. taką wartość: ’; touch /tmp/sekuraktubyl ;

Mamy więc wykonanie dowolnych naszych poleceń na urządzeniu. Producent przygotował stosowne łaty, a dla tych którzy nie mogą zaaplikować nowego firmware poleca np. wyłączenie usługi SSL-VPN :)

—ms