NETGEAR DGN-2200v1 seeria seadmete püsivaras on tuvastatud kolm haavatavust, mis ühendavad ADSL-modemi, ruuteri ja traadita pääsupunkti funktsioonid, võimaldades veebiliideses sooritada mis tahes toiminguid ilma autentimiseta.
Esimese haavatavuse põhjustab asjaolu, et HTTP-serveri koodil on otsene juurdepääs piltidele, CSS-ile ja muudele abifailidele, mis ei vaja autentimist. Kood sisaldab päringu kontrollimist tüüpiliste failinimede ja laiendite maskide abil, mis viiakse läbi alamstringi otsimisega kogu URL-ist, sealhulgas päringu parameetritest. Alamstringi olemasolul serveeritakse lehte veebiliidese sisselogimist kontrollimata. Rünnak seadmete vastu taandub loendis oleva nime lisamisega päringule; näiteks WAN-liidese seadetele juurdepääsu saamiseks võite saata päringu „https://10.0.0.1/WAN_wan.htm?pic.gif” .
Teise haavatavuse põhjustab strcmp funktsiooni kasutamine kasutajanime ja parooli võrdlemisel. Strcmp-s viiakse võrdlus läbi tähemärgi haaval, kuni jõutakse erinevuseni või märgini koodiga null, mis tuvastab rea lõpu. Ründaja saab proovida parooli ära arvata, proovides tähemärke samm-sammult ja analüüsides autentimisvea kuvamiseni kuluvat aega – kui kulu on tõusnud, siis on valitud õige märk ja saab edasi järgmise tähemärgi äraarvamise juurde. stringis.
Kolmas haavatavus võimaldab eraldada parooli salvestatud konfiguratsiooni tõmmist, mille saab hankida esimest haavatavust ära kasutades (näiteks saates päringu „http://10.0.0.1:8080/NETGEAR_DGN2200.cfg?pic .gif)”. Parool on prügikastis krüpteeritud kujul, kuid krüpteerimiseks kasutatakse DES-algoritmi ja püsivõtit “NtgrBak”, mida saab püsivarast eraldada.
Turvaaukude ärakasutamiseks peab olema võimalik saata päring võrguporti, millel veebiliides töötab (välisvõrgust saab rünnata näiteks “DNS rebinding” tehnikaga). Probleemid on juba püsivara värskenduses 1.0.0.60 parandatud.
Allikas: opennet.ru