-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Obejście uwierzytelniania w Ubiquiti airMAX/airOS przy pomocy airControl web-UI

18 sierpnia 2017, 15:01 | W biegu | komentarze 3


tl;dr:

  1. Podatne wersje oprogramowania: Ubiquiti airMAX/airOS w wersjach niższych niż 8.0.2, 7.2.5, 6.0.2 lub 5.6.15.
  2. Warunki wykorzystania podatności:
    1. Wykorzystanie przez administratora interfejsu airControl web-UI od czasu ostatniego restartu urządzenia.
    2. Możliwość przesłania przez atakującego zapytania HTTP do interfejsu WWW airControl web-UI.
  3. Skutek wykorzystania podatności: nieautoryzowany dostęp do urządzenia.
  4. Zalecenie: aktualizacja oprogramowania do wersji 8.0.2, 7.2.5, 6.0.2 lub 5.6.15.

Opublikowana została informacja o możliwości obejścia uwierzytelniania w Ubiquiti airMAX oraz Ubiquiti airOS, w przypadku, gdy wykorzystywany był interfejs airControl web-UI. Podatność wynika po części z ryzyka i trudności jakie wynikają z prób odwoływania się z poziomu aplikacji WWW do programów i skryptów powłoki systemowej. Niemałe znaczenie miało również wykorzystanie PHP w wersji… 2.0.1 z aktywnym mechanizmem register globals.

Ubiquiti airControl posiada możliwość wygenerowania jednorazowego tokenu, który przekazany w adresie URL (Listing nr 1) pozwala na uwierzytelnienie w aplikacji.

http://<adres_urządzenia>/ticket.cgi?ticketid=<wygenerowany token/ticket>

Autor znaleziska uzasadnienia istnienie takiej funkcjonalności m.in. sytuacją, gdy zachodzi potrzeba udzielenia dostępu do urządzenia osobie trzeciej. W takim przypadku można udzielić dostępu bez konieczności ujawniania hasła administratora. Odpowiedni token tworzony jest również w przypadku gdy administrator skorzysta z funkcji „Open Web-UI”.

Znaleziona przez Nicholasa podatność wynikała z niepoprawnego sposobu obsługi przesyłanego w adresie URL tokenu, który następnie przekazywany jest na wejście programu odpowiedzialnego za otworzenie dostępu do urządzenia. Poprzez sprytną manipulację wartością parametru ticketid oraz wykorzystanie faktu aktywnej opcji register globals udało mu się wykorzystać luki w logice skryptów Ubiquiti a przez to uzyskać dostęp do urządzenia bez posiadania jakichkolwiek danych dostępowych. 

Po szczegóły techniczne podatności odsyłamy do artykułu źródłowego.

— piochu

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Hdjejueudkskhx

    A może kilka słów co to takiego to:
    Ubiquiti airMAX/airOS ;)

    Odpowiedz
  2. ryr

    Na szczęście Ubi daje darmowy kontroler i aktualizacje softu – nie to co inni producenci.

    Odpowiedz
  3. MrG

    Nie rozśmieszaj mnie. Ostatnio narzedzia wypuścili ponad 4 doby po infekcji i 2 doby po tym jak już leczyliśmy poprzedniego wirusa własnymi skryptami. Przy takim „na szczęście” niektórzy chcieli się wieszać.

    Odpowiedz

Odpowiedz na ryr