Sono state identificate tre vulnerabilità nel firmware dei dispositivi della serie NETGEAR DGN-2200v1, che combinano le funzioni di modem ADSL, router e punto di accesso wireless, consentendo di eseguire qualsiasi operazione nell'interfaccia web senza autenticazione.
La prima vulnerabilità è causata dal fatto che il codice del server HTTP ha la capacità intrinseca di accedere direttamente a immagini, CSS e altri file ausiliari, che non richiede autenticazione. Il codice contiene un controllo della richiesta mediante maschere di nomi ed estensioni di file tipici, implementato cercando una sottostringa nell'intero URL, compresi i parametri della richiesta. Se è presente una sottostringa, la pagina viene servita senza verificare l'accesso all'interfaccia web. Un attacco ai dispositivi si riduce ad aggiungere alla richiesta un nome presente nella lista; ad esempio, per accedere alle impostazioni dell’interfaccia WAN, è possibile inviare la richiesta “https://10.0.0.1/WAN_wan.htm?pic.gif” .
La seconda vulnerabilità è causata dall'uso della funzione strcmp durante il confronto di nome utente e password. In strcmp il confronto viene effettuato carattere per carattere fino al raggiungimento di una differenza o di un carattere con codice zero, che identifica la fine della riga. Un utente malintenzionato può provare a indovinare la password provando i caratteri passo dopo passo e analizzando il tempo trascorso fino alla visualizzazione di un errore di autenticazione: se il costo è aumentato, è stato selezionato il carattere corretto e si può passare a indovinare il carattere successivo nella corda.
La terza vulnerabilità consente di estrarre la password da un dump della configurazione salvata, ottenibile sfruttando la prima vulnerabilità (ad esempio inviando la richiesta “http://10.0.0.1:8080/NETGEAR_DGN2200.cfg?pic .gif)”. La password è presente nel dump in forma crittografata, ma la crittografia utilizza l'algoritmo DES e la chiave permanente “NtgrBak”, che può essere estratta dal firmware.
Per sfruttare le vulnerabilità deve essere possibile inviare una richiesta alla porta di rete su cui è in esecuzione l'interfaccia web (da una rete esterna è possibile effettuare un attacco, ad esempio, utilizzando la tecnica del “DNS rebinding”). I problemi sono già stati risolti nell'aggiornamento firmware 1.0.0.60.
Fonte: opennet.ru