Se han identificado tres vulnerabilidades en el firmware de los dispositivos de la serie NETGEAR DGN-2200v1, que combinan las funciones de un módem ADSL, un enrutador y un punto de acceso inalámbrico, lo que permite realizar cualquier operación en la interfaz web sin autenticación.
La primera vulnerabilidad se debe al hecho de que el código del servidor HTTP tiene la capacidad integrada de acceder directamente a imágenes, CSS y otros archivos auxiliares, lo que no requiere autenticación. El código contiene una verificación de la solicitud utilizando máscaras de nombres y extensiones de archivos típicos, implementada buscando una subcadena en toda la URL, incluidos los parámetros de la solicitud. Si hay una subcadena, la página se muestra sin verificar el inicio de sesión en la interfaz web. Un ataque a dispositivos se reduce a agregar a la solicitud un nombre presente en la lista; por ejemplo, para acceder a la configuración de la interfaz WAN, se puede enviar la solicitud “https://10.0.0.1/WAN_wan.htm?pic.gif” .
La segunda vulnerabilidad es causada por el uso de la función strcmp al comparar el nombre de usuario y la contraseña. En strcmp la comparación se realiza carácter a carácter hasta llegar a una diferencia o a un carácter con código cero que identifica el final de la línea. Un atacante puede intentar adivinar la contraseña probando los caracteres paso a paso y analizando el tiempo hasta que se muestra un error de autenticación; si el costo ha aumentado, entonces se ha seleccionado el carácter correcto y puede pasar a adivinar el siguiente carácter. en la cuerda.
La tercera vulnerabilidad le permite extraer la contraseña de un volcado de configuración guardado, que se puede obtener aprovechando la primera vulnerabilidad (por ejemplo, enviando la solicitud “http://10.0.0.1:8080/NETGEAR_DGN2200.cfg?pic .gif)”. La contraseña está presente en el volcado en forma cifrada, pero el cifrado utiliza el algoritmo DES y la clave permanente "NtgrBak", que se puede extraer del firmware.
Para aprovechar las vulnerabilidades, debe ser posible enviar una solicitud al puerto de red en el que se ejecuta la interfaz web (desde una red externa, se puede realizar un ataque, por ejemplo, utilizando la técnica “DNS rebinding”). Los problemas ya se solucionaron en la actualización de firmware 1.0.0.60.
Fuente: opennet.ru