En
una serie de dos
artículos, el investigador Zack Cutlip (@zcutlip) ha localizado varias vulnerabilidades en la versión 4 del
router inalámbrico WNDR3700 de Netgear. Estas, entre otros impactos, permitirían acceder a la interfaz de
administración sin necesidad de autenticación y la inyección de comandos al
sistema operativo del dispositivo. Están confirmadas en las versiones 1.0.1.42
y 1.0.1.32 del firmware.
 |
| Router Netgear WNDR3700v4 |
Cutlip desgrana, a través del
estudio del manejo de las peticiones, las diferentes vulnerabilidades
descubiertas. Cuando se pide un recurso al router, se comprueba que su nombre
coincida con el patrón asociado a uno de los manejadores MIME. Esto se hace
buscando el patrón como subcadena del recurso. Si se encuentra, se le aplica su
manejador de autenticación asociado.
Poniendo como ejemplo el mismo que
se utiliza en el articulo, una de las entradas en la tabla de patrones MIME es "BRS_". La función de autenticación
para estos recursos es un puntero nulo. Por tanto, cualquier recurso que contenga la cadena "BRS_" no necesita autenticación. Son muchas las páginas
que cumplen esta condición en la interfaz. Como ejemplo, la que muestra la
contraseña de la conexión WPA del dispositivo.
Otras páginas permiten el salto
de las restricciones de autenticación con el mismo método. Para controlar qué
páginas requieren autenticación, comprueban que el patrón (que no es más que el
nombre de la página), sea subcadena *de la petición*, y no comparan con el
nombre de recurso en si. Esto se permite que se sirvan páginas restringidas si
la petición contiene el nombre de una de las páginas que no lo están. Por
ejemplo, en una petición como http://router/pagina_protegida.htm?foo=unauth.cgi
se podría acceder a la página protegida, ya que unauth.cgi, que
salta las restricciones, se encuentra como subcadena.
Como colofón, Cutlip termina con
un salto de restricciones persistente. En este dispositivo, el valor de la
variable hijack_process controla si se debe aplicar la autenticación en todas
las páginas de la interfaz. Esta funcionalidad se aplica durante el primer
inicio del router. En vez de usar una contraseña por defecto, directamente se
deshabilita la autenticación hasta que esté configurado. Cuando se configura,
hijack_process toma el valor 3, con el que indica que la autenticación debe
aplicarse.
Sin embargo, existe una página
pública de la interfaz del dispositivo (BRS_02_genieHelp.html) que da a
hijack_process un valor distinto de 3, con lo que una sola petición a esa página
permitiría desactivar la autenticación en todo el dispositivo. Como la variable
se guarda en RAM no volátil, este estado permanece aunque el dispositivo se
reinicie.
Además, también se ha encontrado
una vulnerabilidad que permite la inyección de comandos al sistema operativo
subyacente del router a través de la página de ping a direcciones IPv6. El
comando con la dirección dada por el usuario se le pasa a la función system,
que llama a /bin/sh. Por tanto, si pasamos en lugar de la IP una cadena de la forma "; comando;", la ejecución del ping
falla, pero podemos inyectar código. Ya se ha publicado una prueba de concepto
que abre una conexión telnet y permite el acceso como administrador sin
autenticación.
Las vulnerabilidades se han probado
en la versión 4 del modelo WNDR3700 de Netgear, con los firmwares 1.0.1.42 y
1.0.1.32, y en el 4700. El autor acredita a Jacob Holocomb (que encontró la
esta misma vulnerabilidad en el modelo WNDR4700) y Craig Young, que hizo este
descubrimientos el pasado abril pero no lo publicó (https://twitter.com/zcutlip/status/393752865187328000).
Según el portal The Register, Netgear ha prometido un parche que
solucione la vulnerabilidad en el plazo de un mes, aunque apunta que solo es
explotable si el atacante se encuentra en la misma red que el dispositivo.
Más información:
Complete, Persistent Compromise of Netgear
Wireless Routers
Netgear Root Compromise via Command Injection
Netgear router admin hole is WIDE OPEN, but
DON'T you dare go in, warns infosec bod
Francisco López
Muchas felicidades, gracias por su gran servicio de esta gran labor.
ResponderEliminarComo comentario, desearos muchas felicidades en vuestro 15º cumpleaños.
ResponderEliminarAunque no os haga muchos comentarios, sabed que os leo a diario, y suponéis un gran apoyo ante la ristra de descerebrados que tratan de fastidiar al prójimo.
Es por eso por lo que aprovecho esta ocasión para daros las gracias por vuestro excelente trabajo.
Un cordial saludo y un fuerte abrazo para todos vosotros.
Muchísimas Felicidades. ¡Cuánto bien nos hacéis !!
ResponderEliminarFelicitaciones, hacen una escelente Labor y ademas en Idioma Espanol, espero que cumplan muchos mas.de exitos
ResponderEliminarMuchas gracias. Muchas felicidades. Mucho trabajo que agradeceros
ResponderEliminarFelicidades! Seguid asi.
ResponderEliminarMuchas felicidades y mil gracias!!
ResponderEliminarEstimados Una-al Día:
ResponderEliminarMis primeras palabras sean para agradecer la valiosa y oportuna información proporcionada acerca de los problemas y seguridad en la WEB, durante estos 15 años. Asimismo le deseo un feliz aniversario y ojalá puedan continuar con la profesional y dedicada entrega de información sobre la seguridad en la Web.
Atentos saludos,
Mario Arancibia M.
Queridos amigos, los leo desde 1999 desde Chile. Un fuerte abrazo y muchas felicitaciones por sus 15 años en el aire! Gracias por tan importante información.
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarMuchas gracias y felicidades a uds. llevo mas de 10 de los quince años leyendoles e informándome. Gracias de nuevo!
ResponderEliminarEnhorabuena por vuestro trabajo, casi los 15 años llevo recibiendo en mi buzón vuestro mail.
ResponderEliminarBuen trabajo
ResponderEliminarFelicidades!! Os sigo desde 2000!
ResponderEliminarEs tan raro hoy en día encontrar a gente que trabaje por el bien común que sois la excepción que confirma la regla. Gracias de todo corazón por vuestra dedicación a tratar de conseguir hacer la red un lugar más seguro y donde los buitres, que los hay, tengan menor carroña a su alcance. Muchas felicidades y muchas gracias.
ResponderEliminarFelicitaciones a Una al Día, gran información, grandes consejos, y lo mejor el grupo humano que colabora en este proyecto de manera tan profesional, felicitaciones y sigan adelante. Saludos desde Ecuador
ResponderEliminar¡Felicidades Una-al-dia!
ResponderEliminarSiempre es un gusto poder leer sus notas.
Gracias a vosotros por vuestro día a día de noticias.
ResponderEliminarFelicidades por vuestro excelente trabajo !!!!!
ResponderEliminarMe sumo a la opinión de muchos mensajes de los que he leido.... Un trabajo impresionante..
Aunque hay veces que da un poco de "vértigo" y "miedo" leer vuestras noticias y eso que es "una al dia".....me refiero a lo que se cuece en este mundo digital y virtual...
Animo, gracias y de nuevo "felicidades"....Que cumplais muchos más y nosotros que podamos seguir leyendolas...
Felicidades amigos. Os sigo desde la primera publicacion y me habeis ayudado mucho.
ResponderEliminarEspero seguir leyendoos muchos años mas. Sois formidables...continuad así.
Saludos
Felicidades, una sugerencia para no hacer la lista "Tal día como hoy" tan larga es ponerla cada 5 años, ahora que habéis cumplido 15 años sería:
ResponderEliminarHace 5 años:
28/10/2008: Una-al-día cumple 10 años
h t t p : / / w w w . h i s p a s e c . c o m /unaaldia/3657
Hace 10 años:
28/10/2003: "una-al-día" cumple cinco años
h t t p : / / w w w . h i s p a s e c . c o m /unaaldia/1829
Hace 15 años:
28/10/1998: Service Pack 4, los problemas de la solución.
h t t p : / / w w w . h i s p a s e c . c o m /unaaldia/1
Felicidades Hispasec! 15 años sirviendo como punto de referencia y fuente confiable de información en Tecnologias de la Información, un abrazo grande desde Monterrey Nuevo Leon Mexico, donde se sigue de cerca sus pasos. fb.com/copskicks
ResponderEliminarCon cierto retraso, mis disculpas anticipadas, os quiero desear muchas felicidades y que sigamos creciendo juntos.
ResponderEliminarUn saludo
Fdo. Luis Balboa García