W ruterach TP-LINKa i Belkina odkryto nowe, poważne błędy

dodał 10 kwietnia 2015 o 20:47 w kategorii Błędy  z tagami:
W ruterach TP-LINKa i Belkina odkryto nowe, poważne błędy

Nie mamy dobrych wieści dla posiadaczy popularnych domowych ruterów. W wielu modelach TP-LINKów można zdalnie odczytać plik z hasłem administratora, a w większości Belkinów odgadnąć PIN usługi WPS.

W ciągu ostatnich kilku godzin opublikowano dwa odkrycia pokazujące, jak wiele brakuje domowym ruterom do osiągnięcia przyzwoitego poziomu bezpieczeństwa. Błędy są trywialne – w TP-LINKach można zdalnie, bez uwierzytelnienia, odczytać lokalne pliki, w tym zawierający hasło administratora, a z kolei Belkiny mają trywialny mechanizm generowania kodu PIN usługi WPS, umożliwiając lokalne ataki.

Kompromitująca dziura w TP-LINKach

Na liście Full Disclosure pojawiła się informacja firmy SEC Consult, która odnalazła poważny, trywialny błąd w wielu popularnych modelach ruterów tego producenta. Każdy użytkownik posiadający zdalny lub lokalny dostęp do rutera w podatnych modelach może za pomocą jednego żądania HTTP odczytać lokalne pliki urządzenia. Wśród nich może być np. plik z hasłem sieci bezprzewodowej lub plik z haszem (zaledwie MD5) hasła administratora urządzenia. Aby się do nich dobrać wystarczy połączyć się portem 80 podatnego urządzenia i wydać następujące polecenie:

Dziura w TP-LINKach

Dziura w TP-LINKach

Nie sądziliśmy, że w roku 2015 będziemy jeszcze opisywać błędy typu path traversal. Podatne modele są dość popularne również w Polsce:

  • TP-LINK Archer C5 (Hardware version 1.2)
  • TP-LINK Archer C7 (Hardware version 2.0)
  • TP-LINK Archer C8 (Hardware version 1.0)
  • TP-LINK Archer C9 (Hardware version 1.0)
  • TP-LINK TL-WDR3500 (Hardware version 1.0)
  • TP-LINK TL-WDR3600 (Hardware version 1.0)
  • TP-LINK TL-WDR4300 (Hardware version 1.0)
  • TP-LINK TL-WR740N (Hardware version 5.0)
  • TP-LINK TL-WR741ND (Hardware version 5.0)
  • TP-LINK TL-WR841N (Hardware version 9.0)
  • TP-LINK TL-WR841N (Hardware version 10.0)
  • TP-LINK TL-WR841ND (Hardware version 9.0)
  • TP-LINK TL-WR841ND (Hardware version 10.0)

Dla wszystkich powyższych modeli dostępne są już aktualizacje oprogramowania. Oczywiście na atak zdalny podatne są wyłącznie rutery, których interfejs administracyjny został publicznie udostępniony.

Ciekawa dziura w Belkinach

Z kolei niezawodny Craig z serwisu /dev/ttyS0 przeanalizował algorytm tworzenia kodu PIN usługi WPS w ruterach Belkina. Początkowo konstrukcja algorytmu wydawała się dość solidna, ponieważ oparty był nie tylko na adresie MAC, który łatwo podsłuchać, ale także na 4 cyfrach numeru seryjnego urządzenia, których nie sposób zgadnąć. Nic nie jest jednak tak piękne jak się wydaje i szybko okazało się, że rutery chętnie podają zdalnie swój numer seryjny w pakiecie probe response. Wystarczy zatem wysłanie jednego pakietu do urządzenia, by poznać wszystkie dane potrzebne do wygenerowania kodu PIN usługi WPS i jeśli tylko jest ona aktywna, można śmiało połączyć się z siecią WiFi.

Numer seryjny podawany przez ruter

Numer seryjny podawany przez ruter

Podatne modele to co najmniej:

  • F9K1001v4
  • F9K1001v5
  • F9K1002v1
  • F9K1002v2
  • F9K1002v5
  • F9K1103v1
  • F9K1112v1
  • F9K1113v1
  • F9K1105v1
  • F6D4230-4v2
  • F6D4230-4v3
  • F7D2301v1
  • F7D1301v1
  • F5D7234-4v3
  • F5D7234-4v4
  • F5D7234-4v5
  • F5D8233-4v1
  • F5D8233-4v3
  • F5D9231-4v1

Błędu nie stwierdzono w modelach:

  • F9K1001v1
  • F9K1105v2
  • F6D4230-4v1
  • F5D9231-4v2
  • F5D8233-4v4

Sam błąd nie został wprowadzony przez Belkina, a przez dostawcę układów firmę Arcadyan – zatem podatne mogą być także urządzenia innych marek. Jeśli ktoś jeszcze nie wyłączył usługi WPS, to teraz jest dobry moment.