domingo, 27 de octubre de 2013

Salto de restricciones e inyección de comandos en router WNDR3700v4 de Netgear

En una serie de dos artículos, el investigador Zack Cutlip (@zcutlip) ha localizado varias vulnerabilidades en la versión 4 del router inalámbrico WNDR3700 de Netgear. Estas, entre otros impactos, permitirían acceder a la interfaz de administración sin necesidad de autenticación y la inyección de comandos al sistema operativo del dispositivo. Están confirmadas en las versiones 1.0.1.42 y 1.0.1.32 del firmware.

Router Netgear WNDR3700v4
Cutlip desgrana, a través del estudio del manejo de las peticiones, las diferentes vulnerabilidades descubiertas. Cuando se pide un recurso al router, se comprueba que su nombre coincida con el patrón asociado a uno de los manejadores MIME. Esto se hace buscando el patrón como subcadena del recurso. Si se encuentra, se le aplica su manejador de autenticación asociado.

Poniendo como ejemplo el mismo que se utiliza en el articulo, una de las entradas en la tabla de patrones MIME es "BRS_". La función de autenticación para estos recursos es un puntero nulo. Por tanto, cualquier recurso que contenga la cadena "BRS_" no necesita autenticación. Son muchas las páginas que cumplen esta condición en la interfaz. Como ejemplo, la que muestra la contraseña de la conexión WPA del dispositivo.

Otras páginas permiten el salto de las restricciones de autenticación con el mismo método. Para controlar qué páginas requieren autenticación, comprueban que el patrón (que no es más que el nombre de la página), sea subcadena *de la petición*, y no comparan con el nombre de recurso en si. Esto se permite que se sirvan páginas restringidas si la petición contiene el nombre de una de las páginas que no lo están. Por ejemplo, en una petición como http://router/pagina_protegida.htm?foo=unauth.cgi se podría acceder a la página protegida, ya que unauth.cgi, que salta las restricciones, se encuentra como subcadena.

Como colofón, Cutlip termina con un salto de restricciones persistente. En este dispositivo, el valor de la variable hijack_process controla si se debe aplicar la autenticación en todas las páginas de la interfaz. Esta funcionalidad se aplica durante el primer inicio del router. En vez de usar una contraseña por defecto, directamente se deshabilita la autenticación hasta que esté configurado. Cuando se configura, hijack_process toma el valor 3, con el que indica que la autenticación debe aplicarse.

Sin embargo, existe una página pública de la interfaz del dispositivo (BRS_02_genieHelp.html) que da a hijack_process un valor distinto de 3, con lo que una sola petición a esa página permitiría desactivar la autenticación en todo el dispositivo. Como la variable se guarda en RAM no volátil, este estado permanece aunque el dispositivo se reinicie.

Además, también se ha encontrado una vulnerabilidad que permite la inyección de comandos al sistema operativo subyacente del router a través de la página de ping a direcciones IPv6. El comando con la dirección dada por el usuario se le pasa a la función system, que llama a /bin/sh. Por tanto, si pasamos en lugar de la IP una cadena de la forma "; comando;", la ejecución del ping falla, pero podemos inyectar código. Ya se ha publicado una prueba de concepto que abre una conexión telnet y permite el acceso como administrador sin autenticación.

Las vulnerabilidades se han probado en la versión 4 del modelo WNDR3700 de Netgear, con los firmwares 1.0.1.42 y 1.0.1.32, y en el 4700. El autor acredita a Jacob Holocomb (que encontró la esta misma vulnerabilidad en el modelo WNDR4700) y Craig Young, que hizo este descubrimientos el pasado abril pero no lo publicó (https://twitter.com/zcutlip/status/393752865187328000).

Según el portal The Register, Netgear ha prometido un parche que solucione la vulnerabilidad en el plazo de un mes, aunque apunta que solo es explotable si el atacante se encuentra en la misma red que el dispositivo.

Más información:

Complete, Persistent Compromise of Netgear Wireless Routers

Netgear Root Compromise via Command Injection

Netgear router admin hole is WIDE OPEN, but DON'T you dare go in, warns infosec bod



Francisco López



23 comentarios:

  1. Muchas felicidades, gracias por su gran servicio de esta gran labor.

    ResponderEliminar
  2. Como comentario, desearos muchas felicidades en vuestro 15º cumpleaños.
    Aunque no os haga muchos comentarios, sabed que os leo a diario, y suponéis un gran apoyo ante la ristra de descerebrados que tratan de fastidiar al prójimo.
    Es por eso por lo que aprovecho esta ocasión para daros las gracias por vuestro excelente trabajo.
    Un cordial saludo y un fuerte abrazo para todos vosotros.

    ResponderEliminar
  3. Muchísimas Felicidades. ¡Cuánto bien nos hacéis !!

    ResponderEliminar
  4. Felicitaciones, hacen una escelente Labor y ademas en Idioma Espanol, espero que cumplan muchos mas.de exitos

    ResponderEliminar
  5. Muchas gracias. Muchas felicidades. Mucho trabajo que agradeceros

    ResponderEliminar
  6. Felicidades! Seguid asi.

    ResponderEliminar
  7. Estimados Una-al Día:

    Mis primeras palabras sean para agradecer la valiosa y oportuna información proporcionada acerca de los problemas y seguridad en la WEB, durante estos 15 años. Asimismo le deseo un feliz aniversario y ojalá puedan continuar con la profesional y dedicada entrega de información sobre la seguridad en la Web.

    Atentos saludos,

    Mario Arancibia M.

    ResponderEliminar
  8. Queridos amigos, los leo desde 1999 desde Chile. Un fuerte abrazo y muchas felicitaciones por sus 15 años en el aire! Gracias por tan importante información.

    ResponderEliminar
  9. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  10. Muchas gracias y felicidades a uds. llevo mas de 10 de los quince años leyendoles e informándome. Gracias de nuevo!

    ResponderEliminar
  11. Enhorabuena por vuestro trabajo, casi los 15 años llevo recibiendo en mi buzón vuestro mail.

    ResponderEliminar
  12. Felicidades!! Os sigo desde 2000!

    ResponderEliminar
  13. Es tan raro hoy en día encontrar a gente que trabaje por el bien común que sois la excepción que confirma la regla. Gracias de todo corazón por vuestra dedicación a tratar de conseguir hacer la red un lugar más seguro y donde los buitres, que los hay, tengan menor carroña a su alcance. Muchas felicidades y muchas gracias.

    ResponderEliminar
  14. Felicitaciones a Una al Día, gran información, grandes consejos, y lo mejor el grupo humano que colabora en este proyecto de manera tan profesional, felicitaciones y sigan adelante. Saludos desde Ecuador

    ResponderEliminar
  15. ¡Felicidades Una-al-dia!
    Siempre es un gusto poder leer sus notas.

    ResponderEliminar
  16. Gracias a vosotros por vuestro día a día de noticias.

    ResponderEliminar
  17. Felicidades por vuestro excelente trabajo !!!!!
    Me sumo a la opinión de muchos mensajes de los que he leido.... Un trabajo impresionante..
    Aunque hay veces que da un poco de "vértigo" y "miedo" leer vuestras noticias y eso que es "una al dia".....me refiero a lo que se cuece en este mundo digital y virtual...

    Animo, gracias y de nuevo "felicidades"....Que cumplais muchos más y nosotros que podamos seguir leyendolas...

    ResponderEliminar
  18. Felicidades amigos. Os sigo desde la primera publicacion y me habeis ayudado mucho.
    Espero seguir leyendoos muchos años mas. Sois formidables...continuad así.
    Saludos

    ResponderEliminar
  19. Felicidades, una sugerencia para no hacer la lista "Tal día como hoy" tan larga es ponerla cada 5 años, ahora que habéis cumplido 15 años sería:

    Hace 5 años:
    28/10/2008: Una-al-día cumple 10 años
    h t t p : / / w w w . h i s p a s e c . c o m /unaaldia/3657

    Hace 10 años:
    28/10/2003: "una-al-día" cumple cinco años
    h t t p : / / w w w . h i s p a s e c . c o m /unaaldia/1829

    Hace 15 años:
    28/10/1998: Service Pack 4, los problemas de la solución.
    h t t p : / / w w w . h i s p a s e c . c o m /unaaldia/1

    ResponderEliminar
  20. Ing. J. Alberto "CoPS" Mitnick1 de noviembre de 2013, 10:39

    Felicidades Hispasec! 15 años sirviendo como punto de referencia y fuente confiable de información en Tecnologias de la Información, un abrazo grande desde Monterrey Nuevo Leon Mexico, donde se sigue de cerca sus pasos. fb.com/copskicks

    ResponderEliminar
  21. Con cierto retraso, mis disculpas anticipadas, os quiero desear muchas felicidades y que sigamos creciendo juntos.
    Un saludo
    Fdo. Luis Balboa García

    ResponderEliminar