Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Seria podatności w routerach ASUS-a (brak patcha, jest exploit)

12 marca 2017, 10:25 | W biegu | komentarzy 12
Tagi: , , , ,

Od przejmowania sesji administratora po wykonanie kodu, za pomocą generowania odpowiednio spreparowanych pakietów UDP.

Podatna jest usługa networkmap, odpowiedzialna za mapowanie (czy bardziej precyzyjnie – sprawdzanie pewnych funkcji czy usług), nowych komputerów w LAN:

networkmap is responsible for generating a map of computers connected to the router. It continuously monitors the LAN to detect ARP requests submitted by unknown computers. When a new MAC address appears it will probe the related IP address for running services like printer sharing, http server and also iTunes servers.

Router wysyła do nowego komputera (który wysłał pakiet ARP) zapytanie za pomocą multicastowych pakietów UDP (dokładniej: wykorzystywany jest protokół SSDP). Odpowiednio złośliwa odpowiedź daje możliwość wykonania dowolnego kodu na routerze jako root:

# ./networkmap-pwn.py
[-] starting webserver
[-] received SSP discovery
[-] clearing database and crashing
[-] received SSP discovery
[-] spraying heap 1/2
[-] got shellcode request
[-] sending shellcode
[-] received SSP discovery
[-] spraying heap 2/2
[-] received SSP discovery
[-] starting payload
[-] try to connect to shell
[-] try to connect to shell
[+] connected
Linux (none) 2.6.36 #1 Fri Sep 23 12:05:55 CST 2016 mips GNU/Linux
[+] pwned

Dostępny jest też exploit. Szczęśliwie ta podatność prawdopodobnie da się wykorzystać tylko z LAN; nieszczęśliwie – jest ona niezałatana (producent nie zareagował na zgłoszenie) i prawdopodobnie dotyka różnych model routerów ASUS-a (mowa jest o RT-AC53, ale użytkownicy raportują jako podatne np. ASUS DSL-AC68U czy ASUS DSL-AC51U)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Big Dog

    Jedynym bezpiecznym dostępem do Sieci po xDSL jest podpięcie modemu xDSL lub do linii a potem podłączenie go do dedykowanej fizycznej maszyny nad którą ma się kontrolę – to może być stary pecet z Vayattą, Debianem lub którąś z dystrybucji BSD. Maszyna działa wtedy jako urządzenie wielofunkcyjne: router, firewall, IPS, IDS, Samba, itp. Druga karta sieciowa wychodzi do switcha na ruch intranetowy.
    To jedyne (względnie) bezpieczne rozwiązanie, bo wbudowanym urządzeniom, zwyczajnie nie można już ufać.

    Nie wiem jak jest z dostępem na kablówce: nie wiem czy są teraz używane inne urządzenia dostępowe niż dostarczane przez operatora routerki do kablówki.

    Odpowiedz
    • VanPit

      Do kablówki różnie bywa, mi się udało wycisnąć „czysty” modem choć bywa że nie jest łatwo. Generalnie operatorzy lubują się we wciskaniu swojego ustrojstwa które ma niewiele wspólnego ze stabilnością, ale mają też niezłej jakości modemy ethernet. Choć polityka jest taka że „klient nie decyduje o sprzęcie” to jednak jeśli trafi się uparty egzemplarz klienta zazwyczaj zwycięża „pecunia non olet” i dostaje co chce.

      Co do stawiania „starego peceta” weź pod uwagę, że nie każdy ma ochotę trzymać buczące i prądożerne pudło do którego musi jeszcze punkt dostępowy doczepiać. Nie każdy ma też ochotę siedzieć i instalować linuksa, konfigurować go a potem sprawdzać czy jakieś łaty nie wychodzą bo dystrybucje też nie są pozbawione podatności po to aby po roku stwierdzić że jego distro jest już opuszczone i może zaczynać zabawę od początku odcinając się od neta na czas reinstalacji routera. Przerabiałem takie sposoby osobiście gdy miałem więcej czasu na taką zabawę ale teraz już sobie daruję.

      Odpowiedz
      • W kablówce dawali najpierw czyste modemy kablowe z jednym wyjściem RJ45 i nie wolno było dzielić łącza, nie tylko z sąsiadami ale na inne urządzenia (bo dopłata za każde w cenniku). Weryfikacja parametrów łącza po MAC ID modemu i obowiązek rejestracji MAC ID karty sieciowej podłączonego kompa. Potem czasy się zmieniły, nadal ważny jest MAC ID modemu ale kart sieciowych już nie i nie było problemu z podpięciem własnego routera. Teraz nagminnie dają modemo-routery ze switchem i wbudowanym WiFi, oczywiście konfig zabezpieczony hasłem. Na wbudowanym radiu jakie możesz wykorzystywać w ramach lokalu operator podpina też swój HotSpot – tak przynajmniej jest w INEA (Wlkp).

        Odpowiedz
      • Big Dog

        To nie musi być stary, brzęczący i prądożerny blaszak. Możesz użyć np. Raspberry Pi albo używanego, cichego i oszczędnego Terminala HP jakich pełno na Allegro za parę dych.
        Co do wyboru distra, to nie instalujesz jakiegoś mało znanego, tylko bierzesz coś co raczej nie zgaśnie: przede wszystkim Debian i jego pochodne (Ubuntu, Mint) albo CentOS/Fedora albo FreeBSD/NetBSD/OpenBSD. Oczywiście nie zwalnia to nadal z aktualizowania systemu. Ale które wbudowane urządzenie jest często aktualizowane? Chyba ciągle mniejszym złem jest mieć swoją maszynę z opensourcowym systemem wspieranym przez olbrzymią społeczność, niż system własnościowy w zamkniętym pudełku, gdzie firmware po wypuszczeniu sprzętu na rynek jest rzadko aktualizowane lub wcale nie jest aktualizowane. Zauważ że jest to jedyny sposób żeby panować nad urządzeniem i jego systemem operacyjnym zapewniającym dostęp do Internetu.

        Odpowiedz
        • Dx

          Dobra, bo w którymś momencie się zgubiłem: a czym różni się takie Raspberry czy stary thinclient z zainstalowanym debianem albo wielkie, brzęczące pudło z debianem od Routera Asusa z openWRT, które jest open sourcowym projektem wspieranym przez olbrzymią społeczność? Nota bene, jak pamiętam firmware Asusa w swoim czasie bazowało na openWRT.

          Odpowiedz
          • Big Dog

            Tym się różni, że takiego przykładowego Debiana możesz dowolnie konfigurować/kompilować/aktualizować albo dowolnie zmienić OS bo tak sobie pomyślałeś. Z zamkniętym firmwarem już tego nie zrobisz.

            Pół biedy kiedy takie zamknięte firmware jest regularnie aktualizowane. Tylko który producent tak działa? No i jak długo będzie aktualizował? Najczęściej urządzenia sieciowe nie wymienia się co 2 lata (nie licząć geeków i hobbystów), tylko najczęściej jak się je kupi, skonfiguruje a ono bezproblemowo działa, to zostawia się je i nie rusza przez 10 lat.

            Celowo nie wymieniam tu opensourcowego firmware (DD-WRT, Tomato, itp.) bo ono działa tylko na niektórych urządzeniach. Ja np. mam 3 routerki Linksysa i mam na nich DD-WRT i Tomato, ale nie można powiedzieć że jestem reprezentatywny w populacji – tak mają tylko entuzjaści IT.

        • Krzysztof Kozłowski

          Big Dog Jak do terminala HP wciskasz drugą kartę sieciową?

          Odpowiedz
          • Kupujesz taki powiększony z portem PCI(-e), np. HP T610+ i wchodzi nawet pełnowymiarowa serwerowa i350 T2 Intela. Do tego pfSense i wio.

          • Big Dog

            Bardzo prosto: w terminalu HP masz:
            1) wolne porty USB i wkładasz tam kartę sieciową na USB (na Allegro kosztują < 10 zł); lub
            2) wolne gniazdo PCI i wkładasz tam kartę na PCI poprzez specjalną przejściówkę kątową – to już bardziej skomplikowane. Albo po prostu wkładasz kartę na PCI ale rezygnujesz z obudowy terminala, bo ta karta będzie ci wystawać (prostopadle do mobo);
            3) w zależności do czego używasz takiego Terminala HP, możesz mieć wiele interfejsów sieciowych (wirtualnych) na jednej fizycznej karcie sieciowej.
            4) to już bardzo egzotyczne ale podaję dla geeków: transmisję sieciową można realizować także poprzez bardzo stary port Centronisa (drukarkowy LPT) albo szeregowy RS-232 (te porty często są obecne w Terminalach HP). Transmisja przez te porty jest baaaaardzo wolna, ale czasem można ją wykorzystać do wąskich zastosowań.

          • Krzysztof Kozłowski

            @Monter dzięki :D przeoczyłem ten model a właśnie pod pf szukałem.

            @Big Dog wszelkie pająki braki obudów odpadają w zastosowaniach innych niż hobbystyczne.
            Karta na usb….. nie bardzo im ufam. Może te na 3.0 są lepsze ale ogólnie zbyt podatne na awarie rozwiązanie.
            Wirtualne też nie zawsze nie wszędzie bo nie ufam niczemu co wirtualne ;)

            Po lpt to umówmy się że trzeba by klientowi jeszcze leki uspokajające dorzucić w pakiecie :D Gdzie te czasy kiedy się grało po tak złączonych kompach :D

          • @Krzysztof Kozłowski – spoko, mam już taki zestaw, leży od roku i czeka na swoją kolej (wieczny brak czasu). Uwaga jedynie na dokładaną sieciówkę – PCIe v1.0 w tym modelu odpada (brak opcji przełączania w BIOS), więc tanie karty 1000PT/VT nie są widoczne i nie działają. i350 bangla, bo to już szyna 2.0+. Innych nie testowałem.

          • Big Dog

            Nie wiem czemu nie ufasz karcie sieciowej na USB, bo u mnie w starym leciwym Terminalu HP taka działa jako druga karta od kilku lat, a sam Terminal jest honeypotem działającym 365 dni w roku 24 godziny na dobę. Następny terminal jaki kupię to na pewno będzie ten podany przez Montera, ale nawet na starym sprzęcie jaki opisałem też można zrobić coś ciekawego.

Odpowiedz