Tiga kerentanan telah diidentifikasi dalam firmware untuk perangkat seri NETGEAR DGN-2200v1, yang menggabungkan fungsi modem ADSL, router, dan titik akses nirkabel, memungkinkan Anda melakukan operasi apa pun di antarmuka web tanpa otentikasi.
Kerentanan pertama disebabkan oleh fakta bahwa kode server HTTP memiliki kemampuan terprogram untuk mengakses gambar, CSS, dan file tambahan lainnya secara langsung, yang tidak memerlukan otentikasi. Kode berisi pemeriksaan permintaan menggunakan masker nama file dan ekstensi yang khas, diimplementasikan dengan mencari substring di seluruh URL, termasuk parameter permintaan. Jika ada substring, halaman disajikan tanpa memeriksa login ke antarmuka web. Serangan terhadap perangkat terjadi dengan menambahkan nama yang ada dalam daftar ke permintaan; misalnya, untuk mengakses pengaturan antarmuka WAN, Anda dapat mengirim permintaan βhttps://10.0.0.1/WAN_wan.htm?pic.gifβ .
Kerentanan kedua disebabkan oleh penggunaan fungsi strcmp saat membandingkan username dan password. Dalam strcmp, perbandingan dilakukan karakter demi karakter hingga tercapai perbedaan atau karakter dengan kode nol, yang mengidentifikasi akhir baris. Penyerang dapat mencoba menebak kata sandi dengan mencoba karakter selangkah demi selangkah dan menganalisis waktu hingga kesalahan otentikasi ditampilkan - jika biayanya meningkat, maka karakter yang benar telah dipilih dan Anda dapat melanjutkan ke menebak karakter berikutnya dalam string.
Kerentanan ketiga memungkinkan Anda mengekstrak kata sandi dari dump konfigurasi yang disimpan, yang dapat diperoleh dengan memanfaatkan kerentanan pertama (misalnya, dengan mengirimkan permintaan βhttp://10.0.0.1:8080/NETGEAR_DGN2200.cfg?pic .gif)β. Kata sandi ada di dump dalam bentuk terenkripsi, tetapi enkripsi menggunakan algoritma DES dan kunci permanen βNtgrBakβ, yang dapat diekstraksi dari firmware.
Untuk mengeksploitasi kerentanan, permintaan harus dikirim ke port jaringan tempat antarmuka web berjalan (dari jaringan eksternal, serangan dapat dilakukan, misalnya, menggunakan teknik βDNS rebindingβ). Masalah telah diperbaiki pada pembaruan firmware 1.0.0.60.
Sumber: opennet.ru