У прошивці до пристроїв серії NETGEAR DGN-2200v1, що поєднує функції ADSL-модему, маршрутизатора та бездротової точки доступу, виявлено три вразливості, що дозволяють виконати будь-які операції у web-інтерфейсі без проходження аутентифікації.
Перша вразливість викликана тим, що в коді http-сервера жорстко прошити можливість прямого звернення до картинок, CSS та інших допоміжних файлів, що не вимагає аутентифікації. У коді є перевірка запиту по масках типових імен файлів і розширень, реалізована через пошук підрядки у всьому URL, у тому числі параметри до запиту. У разі наявності підрядку сторінка надається без перевірки входу до web-інтерфейсу. Атака на пристрої зводиться до додавання до запиту імені, що є у списку, наприклад, для звернення до настройок WAN-інтерфейсу можна надіслати запит "https://10.0.0.1/WAN_wan.htm?pic.gif".
Друга ворожість викликана використанням функції strcmp при порівнянні імені користувача та пароля. У strcmp порівняння здійснюється посимвольно до досягнення відмінностей або символу з нульовим кодом, що ідентифікує закінчення рядка. Атакуючий може спробувати підібрати пароль, поетапно перебираючи символи і аналізуючи час до виведення помилки аутентифікації - якщо витрата збільшилася, значить підібраний вірний символ і можна переходити до вибору наступного символу в рядку.
Третя вразливість дозволяє отримати пароль з дампа збереження конфігурації, який можна отримати скориставшись першою вразливістю (наприклад, відправивши запит "http://10.0.0.1:8080/NETGEAR_DGN2200.cfg?pic.gif)". Пароль присутній у дампі в зашифрованому вигляді, але для шифрування використовується алгоритм DES і постійний ключ NtgrBak, який можна витягти з прошивки.
Для експлуатації вразливостей має бути можливість надсилання запиту на мережевий порт, на якому виконується web-інтерфейс (із зовнішньої мережі атака може бути здійснена, наприклад, за допомогою техніки DNS rebinding). Проблеми вже усунуті у оновленні прошивки 1.0.0.60.
Джерело: opennet.ru