Tre sårbarheter har identifierats i den fasta programvaran för enheter i NETGEAR DGN-2200v1-serien, som kombinerar funktionerna hos ett ADSL-modem, en router och en trådlös åtkomstpunkt, vilket gör att du kan utföra alla operationer i webbgränssnittet utan autentisering.
Den första sårbarheten orsakas av att HTTP-serverkoden har en hårdkopplad förmåga att direkt komma åt bilder, CSS och andra hjälpfiler, vilket inte kräver autentisering. Koden innehåller en kontroll av förfrågan med masker av typiska filnamn och filtillägg, implementerad genom att söka efter en delsträng i hela URL:en, inklusive i förfrågningsparametrarna. Om det finns en delsträng serveras sidan utan att inloggningen till webbgränssnittet kontrolleras. En attack mot enheter handlar om att lägga till ett namn som finns i listan till begäran; till exempel, för att komma åt WAN-gränssnittsinställningarna, kan du skicka begäran "https://10.0.0.1/WAN_wan.htm?pic.gif" .
Den andra sårbarheten orsakas av användningen av strcmp-funktionen vid jämförelse av användarnamn och lösenord. I strcmp utförs jämförelsen tecken för tecken tills en skillnad eller ett tecken med kod noll uppnås, vilket identifierar slutet av raden. En angripare kan försöka gissa lösenordet genom att prova tecknen steg för steg och analysera tiden tills ett autentiseringsfel visas - om kostnaden har ökat har rätt tecken valts och du kan gå vidare till att gissa nästa tecken i snöret.
Den tredje sårbarheten låter dig extrahera lösenordet från en sparad konfigurationsdump, som kan erhållas genom att dra nytta av den första sårbarheten (till exempel genom att skicka begäran "http://10.0.0.1:8080/NETGEAR_DGN2200.cfg?pic .gif)”. Lösenordet finns i dumpningen i krypterad form, men krypteringen använder DES-algoritmen och den permanenta nyckeln "NtgrBak", som kan extraheras från den fasta programvaran.
För att utnyttja sårbarheter måste det vara möjligt att skicka en förfrågan till nätverksporten som webbgränssnittet körs på (från ett externt nätverk kan en attack utföras t.ex. med hjälp av tekniken "DNS rebinding"). Problemen har redan åtgärdats i firmwareuppdatering 1.0.0.60.
Källa: opennet.ru