Três vulnerabilidades foram identificadas no firmware dos dispositivos da série NETGEAR DGN-2200v1, que combinam as funções de modem ADSL, roteador e ponto de acesso sem fio, permitindo realizar qualquer operação na interface web sem autenticação.
A primeira vulnerabilidade é causada pelo fato de que o código do servidor HTTP possui uma capacidade física de acessar diretamente imagens, CSS e outros arquivos auxiliares, o que não requer autenticação. O código contém uma verificação da solicitação usando máscaras de nomes e extensões de arquivos típicos, implementadas por meio da busca por uma substring em toda a URL, inclusive nos parâmetros da solicitação. Se houver uma substring, a página é veiculada sem verificar o login na interface web. Um ataque a dispositivos se resume a adicionar à solicitação um nome presente na lista; por exemplo, para acessar as configurações da interface WAN, você pode enviar a solicitação “https://10.0.0.1/WAN_wan.htm?pic.gif” .
A segunda vulnerabilidade é causada pelo uso da função strcmp ao comparar nome de usuário e senha. No strcmp, a comparação é feita caractere por caractere até chegar a uma diferença ou a um caractere com código zero, identificando o final da linha. Um invasor pode tentar adivinhar a senha testando os caracteres passo a passo e analisando o tempo até que um erro de autenticação seja exibido - se o custo aumentou, o caractere correto foi selecionado e você pode prosseguir para adivinhar o próximo caractere na corda.
A terceira vulnerabilidade permite extrair a senha de um dump de configuração salvo, que pode ser obtido aproveitando a primeira vulnerabilidade (por exemplo, enviando a solicitação “http://10.0.0.1:8080/NETGEAR_DGN2200.cfg?pic .gif)”. A senha está presente no dump de forma criptografada, mas a criptografia utiliza o algoritmo DES e a chave permanente “NtgrBak”, que pode ser extraída do firmware.
Para explorar vulnerabilidades, deve ser possível enviar uma solicitação à porta de rede onde a interface web está rodando (a partir de uma rede externa, um ataque pode ser realizado, por exemplo, usando a técnica “DNS rebinding”). Os problemas já foram corrigidos na atualização de firmware 1.0.0.60.
Fonte: opennet.ru