0day na VPNy/firewalle Draytek: bezsensowne deszyfrowanie RSA doprowadziło do możliwości przejęcia urządzeń

28 marca 2020, 13:04 | W biegu | 0 komentarzy
Tagi: , , ,
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Jedni powiedzą – ciekawa, nietypowa podatność, inni stwierdzą – w świecie IoT można spodziewać się wszystkiego – nuda ;) W każdym razie zobaczcie na te podatności (wykorzystywane już w realnych kampaniach). W szczególności zwracam uwagę na jedną z nich.

Urządzenia Draytek (Vigor2960/3900/300B) mają możliwość logowania się „normalnym” loginem i hasłem (standard) ale jest też opcja korzystania z RSA. W tym przypadku przeglądarka szyfruje kluczem publicznym zarówno login i hasło, a urządzenie to deszyfruje (kluczem prywatnym). W czym problem? Na razie w niczym ;) Ale po stronie serwerowej obsługiwany jest jeszcze dodatkowy parametr – keyPath, który może podać użytkownik i który jest używany do ustalenia ścieżki położenia klucza prywatnego. Wygląda to tak:

/tmp/rsa/private_key_<keyPath>

Czy bardziej dokładnie, urządzenie wykonuje następujące polecenie:

openssl rsautl -inkey ‚/tmp/rsa/private_key_<keyPath>’ -decrypt -in /tmp/rsa/binary_login

Wartość keyPath (oczywiście) nie jest w żaden sposób walidowana, więc ktoś mógłby ustawić jej np. taką wartość: ‚; touch /tmp/sekuraktubyl ;

Mamy więc wykonanie dowolnych naszych poleceń na urządzeniu. Producent przygotował stosowne łaty, a dla tych którzy nie mogą zaaplikować nowego firmware poleca np. wyłączenie usługi SSL-VPN :)

ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz