У прашыўцы да прылад серыі NETGEAR DGN-2200v1, якія спалучаюць функцыі ADSL-мадэма, маршрутызатара і бесправадной кропкі доступу, выяўлены тры ўразлівасці, якія дазваляюць выканаць любыя аперацыі ў web-інтэрфейсе без праходжання аўтэнтыфікацыі.
Першая ўразлівасць выкліканая тым, што ў кодзе http-сервера цвёрда прашытая магчымасць прамога звароту да малюнкаў, CSS і іншым дапаможным файлам, не патрабавальная аўтэнтыфікацыі. У кодзе маецца праверка запыту па масках тыпавых імёнаў файлаў і пашырэнняў, рэалізаваная праз пошук падрадка ва ўсім URL, у тым ліку ў параметрах да запыту. У выпадку наяўнасці падрадка старонка аддаецца без праверкі ўваходу ў web-інтэрфейс. Атака на прылады зводзіцца да дадання да запыту імя, які прысутнічае ў спісе, напрыклад, для звароту да налад WAN-інтэрфейсу можна адправіць запыт «https://10.0.0.1/WAN_wan.htm?pic.gif».
Другая ўяўнасць выклікана выкарыстаннем функцыі strcmp пры параўнанні імя карыстальніка і пароля. У strcmp параўнанне ажыццяўляецца посимвольно да дасягнення адрозненняў ці знака з нулявым кодам, які ідэнтыфікуе канчаткам радка. Атакуючы можа паспрабаваць падабраць пароль, паэтапна перабіраючы знакі і аналізуючы час да высновы памылкі аўтэнтыфікацыі - калі выдатак павялічылася, значыць падабраны дакладны знак і можна пераходзіць да падбору наступнага знака ў радку.
Трэцяя ўразлівасць дазваляе атрымаць пароль з дампа захавання канфігурацыі, які можна атрымаць скарыстаўшыся першай уразлівасцю (напрыклад, даслаўшы запыт "http://10.0.0.1:8080/NETGEAR_DGN2200.cfg?pic.gif)". Пароль прысутнічае ў дампе ў зашыфраваным выглядзе, але для шыфравання выкарыстоўваецца алгарытм DES і пастаянны ключ "NtgrBak", які можна атрымаць з прашыўкі.
Для эксплуатацыі ўразлівасцяў павінна быць магчымасць адпраўкі запыту на сеткавы порт, на якім выконваецца web-інтэрфейс (з вонкавай сеткі напад можа быць здзейснена, напрыклад, пры дапамозе тэхнікі "DNS rebinding"). Праблемы ўжо ўхіленыя ў абнаўленні прашыўкі 1.0.0.60.
Крыніца: opennet.ru