10.04.2015 | 20:47

Adam Haertle

W ruterach TP-LINKa i Belkina odkryto nowe, poważne błędy

Nie mamy dobrych wieści dla posiadaczy popularnych domowych ruterów. W wielu modelach TP-LINKów można zdalnie odczytać plik z hasłem administratora, a w większości Belkinów odgadnąć PIN usługi WPS.

W ciągu ostatnich kilku godzin opublikowano dwa odkrycia pokazujące, jak wiele brakuje domowym ruterom do osiągnięcia przyzwoitego poziomu bezpieczeństwa. Błędy są trywialne – w TP-LINKach można zdalnie, bez uwierzytelnienia, odczytać lokalne pliki, w tym zawierający hasło administratora, a z kolei Belkiny mają trywialny mechanizm generowania kodu PIN usługi WPS, umożliwiając lokalne ataki.

Kompromitująca dziura w TP-LINKach

Na liście Full Disclosure pojawiła się informacja firmy SEC Consult, która odnalazła poważny, trywialny błąd w wielu popularnych modelach ruterów tego producenta. Każdy użytkownik posiadający zdalny lub lokalny dostęp do rutera w podatnych modelach może za pomocą jednego żądania HTTP odczytać lokalne pliki urządzenia. Wśród nich może być np. plik z hasłem sieci bezprzewodowej lub plik z haszem (zaledwie MD5) hasła administratora urządzenia. Aby się do nich dobrać wystarczy połączyć się portem 80 podatnego urządzenia i wydać następujące polecenie:

GET /login/../../../etc/passwd HTTP/1.1
GET /login/../../../tmp/ath.ap_bss
GET /login/../../../tmp/ath1.ap_bss
GET /login/../../../tmp/dropbear/dropbearpwd
Dziura w TP-LINKach

Dziura w TP-LINKach

Nie sądziliśmy, że w roku 2015 będziemy jeszcze opisywać błędy typu path traversal. Podatne modele są dość popularne również w Polsce:

  • TP-LINK Archer C5 (Hardware version 1.2)
  • TP-LINK Archer C7 (Hardware version 2.0)
  • TP-LINK Archer C8 (Hardware version 1.0)
  • TP-LINK Archer C9 (Hardware version 1.0)
  • TP-LINK TL-WDR3500 (Hardware version 1.0)
  • TP-LINK TL-WDR3600 (Hardware version 1.0)
  • TP-LINK TL-WDR4300 (Hardware version 1.0)
  • TP-LINK TL-WR740N (Hardware version 5.0)
  • TP-LINK TL-WR741ND (Hardware version 5.0)
  • TP-LINK TL-WR841N (Hardware version 9.0)
  • TP-LINK TL-WR841N (Hardware version 10.0)
  • TP-LINK TL-WR841ND (Hardware version 9.0)
  • TP-LINK TL-WR841ND (Hardware version 10.0)

Dla wszystkich powyższych modeli dostępne są już aktualizacje oprogramowania. Oczywiście na atak zdalny podatne są wyłącznie rutery, których interfejs administracyjny został publicznie udostępniony.

Ciekawa dziura w Belkinach

Z kolei niezawodny Craig z serwisu /dev/ttyS0 przeanalizował algorytm tworzenia kodu PIN usługi WPS w ruterach Belkina. Początkowo konstrukcja algorytmu wydawała się dość solidna, ponieważ oparty był nie tylko na adresie MAC, który łatwo podsłuchać, ale także na 4 cyfrach numeru seryjnego urządzenia, których nie sposób zgadnąć. Nic nie jest jednak tak piękne jak się wydaje i szybko okazało się, że rutery chętnie podają zdalnie swój numer seryjny w pakiecie probe response. Wystarczy zatem wysłanie jednego pakietu do urządzenia, by poznać wszystkie dane potrzebne do wygenerowania kodu PIN usługi WPS i jeśli tylko jest ona aktywna, można śmiało połączyć się z siecią WiFi.

Numer seryjny podawany przez ruter

Numer seryjny podawany przez ruter

Podatne modele to co najmniej:

  • F9K1001v4
  • F9K1001v5
  • F9K1002v1
  • F9K1002v2
  • F9K1002v5
  • F9K1103v1
  • F9K1112v1
  • F9K1113v1
  • F9K1105v1
  • F6D4230-4v2
  • F6D4230-4v3
  • F7D2301v1
  • F7D1301v1
  • F5D7234-4v3
  • F5D7234-4v4
  • F5D7234-4v5
  • F5D8233-4v1
  • F5D8233-4v3
  • F5D9231-4v1

Błędu nie stwierdzono w modelach:

  • F9K1001v1
  • F9K1105v2
  • F6D4230-4v1
  • F5D9231-4v2
  • F5D8233-4v4

Sam błąd nie został wprowadzony przez Belkina, a przez dostawcę układów firmę Arcadyan – zatem podatne mogą być także urządzenia innych marek. Jeśli ktoś jeszcze nie wyłączył usługi WPS, to teraz jest dobry moment.

Powrót

Komentarze

  • 2015.04.10 20:59 Anon

    WDR4300 hoh… jak dobrze że openwrt.

    Odpowiedz
    • 2015.04.10 23:14 Tomek

      ten router jeśli ktoś kupuje to chyba głównie dla WRT – ewidentnie parametry (zwłaszcza ram) są niewykożystywane przez wbudowany soft i jak ktos chce do podstawowych funkcji go kupic na sofcie od TP linka – to lepiej zaoszczędzić parę złociszy i kupić coś tańszego.

      Odpowiedz
  • 2015.04.10 21:27 Marcin

    Jak dobrze mieć OpenWrt na routerze ;)

    Odpowiedz
  • 2015.04.10 21:33 JustAnotherRandomAdmin

    Już się bałem, że będę musiał coś łatać, ale na szczęście mamy inne modele.

    Odpowiedz
    • 2015.04.11 14:25 dupa

      jaja sobie połataj

      Odpowiedz
  • 2015.04.10 21:38 Marcin

    Ja też tak uważam.

    Odpowiedz
  • 2015.04.10 21:39 a

    Ja mam ten sprzęt:

    http://enterprise.huawei.com/en/products/network/access-network/pon-one/hw-371813.htm

    Niestety jest to wydatek ponad 6 stówek, ale mam nadzieję że nie będzie takim szitem, jak opisywane we wpisie.

    Nie wiem dlaczego dodają w ogóle WPS? Przecież ta technologia jest już na tyle skompromitowana, że powinni sobie ją darować. Mimo ulepszeń ciągle coś w niej nie działa. U mnie obowiązkowo mam ją zdeaktywowaną.

    Szukałem na Necie luk w moim terminalu i nie znalazłem niczego. Trochę to dziwne, ale naprawdę wygląda to tak, że jest on niepodatny wcale na ataki? Zna ktoś jakieś info prób hakowania terminal Huawei EchoLife HG8247H?

    Odpowiedz
    • 2015.04.11 11:11 fako

      zapytaj chiński rząd.

      Odpowiedz
      • 2015.04.11 12:59 a

        Chiński rząd nie ma nic do tego. Ostatnio był opublikowany raport na ten temat > http://www.mobileworldlive.com/huawei-poses-threat-uk-national-security-says-report .

        Jak widać można brać śmiało sprzęty huawei. Zwłaszcza, że mój terminal jest oparty na oprogramowaniu Open Source :) W łebowym panelu masz tam wszystko elegancko wyszczególnione z linkami do repo z kodami źródłowymi, które jest w ONT.

        Ciągle audytuję ten terminal. Jak skończę to może i jakiś wpis na blogu zapodam. Ale póki co mam go dopiero kilka dni i trochę czasu minie …

        Odpowiedz
    • 2015.04.11 14:33 echo

      Ja mam taką teorie że może to przez te 6 stówek i bynajmniej nie chodzi o to że „drogie to dobre” ale że nikt nie testuje bo drogie ;D
      Więc wniosek jaki się nasówa jest prosty i trzeba go usktucznić podbijmy ceny wszystkich domowych urządzeń abonenckich do X tysięcy plnów (tak żeby były droższe niż komputer) i wtedy zostanie sama elita i 0 dziur (taki dzień zero)

      Odpowiedz
      • 2015.04.11 16:30 anoda vel a

        nasuwa* jak już ;p

        Raczej nie o to chodzi, że drogi. Dla Amerykanów, Kanadyjczyków oraz obywateli innych cywilizowanych państw taka kasa jest porównywalna z dniówką :) Nie pisząc już o firmach sec i NSA lub hakerach, którzy wydaliby każdą kasę na takie zabawki…

        Nawet nie ma nic o poprzednim firmware, które powinno już być złamane na tym ONT. Cisza, nikt nic nie słyszał i nie wie :P

        Odpowiedz
        • 2015.04.13 15:01 echo

          To sądzisz że jest przeniesienie jeśli u nas 600 to w USA 600 / sizeof(dolar) ?
          Szczerze mówiąc nie wiem ale nie wydaje mi się żeby była aż tak silna potrzeba testowania domowych modemów/etc jak już to NSA/KGB/MOSAD ;D wolał by wydać każdy hajs na jakieś routery brzegowe żeby „potestować” niż na „wtyczke do neostrady” to było by kompletnie nieuzasadnione marnotrstwo środków publicznych || prywatnych

          Odpowiedz
        • 2015.04.13 15:11 echo

          Poza tym dla środowiska testującego modemy liczy się chyba ilość a nie jakość
          lepiej mieć bugi w urządzeniach mających miliony użytkowników niż w złotych cackach używanych przez nie licznych (przynajmniej w pewnych sytuacjach lepiej) a zwykłych „TP-Linków” jest chyba jednak więcej niż Mega Pro zabawek za 600 plnów

          Odpowiedz
        • 2015.04.13 15:15 echo

          liczy się to co ma większe pokrycie czyż nie ?

          Odpowiedz
          • 2015.04.13 16:17 risk vel anoda aka a

            Nie całkiem w stosunku 1:1, ale jednak dużo więcej pozostaje Kanadyjczykom niż Polakom na gadżety z pensji.

            Mój ONT nie jest taki zwykły. On jest instalowany z automatu w co drugim domu, w którym jest swiatłowód w technologii FTTH. Tak więc nie jest to taki margines. A już na pewno nie zagranicą. Zwłaszcza, że ma dostęp do telefonii VOIP oraz telewizji CaTV i kilka innych technologii, które będą powszechne dopiero za jakiś czas. NSA hakując go myślałaby perspektywistycznie właśnie ;p

            A do modemów za zetkę i brzegowych to wiadomo, żę to idzie na pierwszy ogień :)

          • 2015.04.13 17:25 echo

            Ale w stosunku do „TP-linków” to chuba jednak margines, rozumiem że przy a takach bardzo ukierunkowanych takie modele mogą stać się celem ale to jednak jest chyba margines którym nie powinniśmy się przejmować :), a co do NSA to jednak myślę że zamiast szukać bugów w modelu X za 1000$ lepiej szukać ich w BRAS-ie za 20000$ przez wszystkie modele X itaka będą przechodzić, chociaż faktycznie „model X” może być łatwiejszy w użyciu :>

  • 2015.04.10 22:15 K6T

    Mam TL-WDR4300, w /etc/passwd hasła nie ma, w ath i ath1 też nie ma, w dropbear jest hash prawdopodobnie md5, w /etc/shadow jest hash unixowy
    ps. muszę zejść 5x w dół, a nie 3 jak podajecie (GET /login/../../../../../etc/shadow HTTP/1.1)

    Odpowiedz
  • 2015.04.11 10:02 zakius

    ja mam starszą 740, poza tym odczyt hasła to jedno, a jak i tak jest dostęp tylko z lanu nie powinno to robić problemu?

    Odpowiedz
  • 2015.04.11 10:04 Adam

    Dla TL-WR740N nie ma aktualizacji :/

    Odpowiedz
  • 2015.04.11 11:07 incognitus

    W połączeniu z innymi błędami na innych stronach (XSS?) taki „lokalny” atak może bardzo szybko przekształcić się w zdalny. Nie stwarzajcie fałszywego poczucia bezpieczeństwa pt. „nie wystawiam zdalnego admina, to wszystko jest ok”.

    Odpowiedz
    • 2015.04.11 11:15 Adam

      Zapominasz o takim drobiazgu, że w takim scenariuszu ofiara musi odwiedzić odpowiednio spreparowaną stronę WWW, nie mieć w przeglądarce filtrów XSS, mieć ruter na domyślnym /popularnym adresie IP a i tak atakujący dalej nie widzi haseł z rutera. Prawdopodobieństwo powodzenia takiego ataku i wymagana wiedza do jego skutecznego przeprowadzenia praktycznie eliminuje ryzyko. Oczywiście może ktoś wkrótce zrobi PoC ale nie spodziewam się takiego ataku w świecie rzeczywistym.

      Odpowiedz
      • 2015.04.11 12:01 Marek

        Jak już ktoś ma dostęp do przeglądarki przez XSS, to odczytując plik (skryptem JS) może zdalnie poszukać w bazie odpowiedzi na MD5 i zrobić co trzeba.

        Odpowiedz
        • 2015.04.11 12:16 Adam

          Dopisz jeszcze webinjecty i ATSa

          Odpowiedz
    • 2015.04.11 14:49 echo

      W przypadku odczytania plików i generalnie jakichkolwiek danych to chyba nie bardzo
      bo między domenowe ataki bez obejścia SOP-a mają to do siebie że nie da się odczytywać odpowiedzi, chociaż zastanwiałem się kiedyś co by się stało gdby połączyć CRLF ijection z Access-Control-Allow-Origin: * czy czymś podobnym i XSS-em ;D no ale to nie ten scenariusz

      Odpowiedz
  • 2015.04.11 12:09 Michał

    WDR – 4300 Firmware Version: 3.13.33 Build 130617 Rel.46239n
    Hardware Version: WDR4300 v1 00000000

    Nie potwierdzam istnienia dziury. Sprawdzone Burpem we wszystkie storny.

    Odpowiedz
  • 2015.04.11 12:10 Michał

    WDR – 4300 Firmware Version: 3.13.33 Build 130617 Rel.46239n
    Hardware Version: WDR4300 v1 00000000

    Nie potwierdzam istnienia dziury. Sprawdzone Burpem we wszystkie strony.

    Odpowiedz
  • 2015.04.11 12:12 Michał

    Ponadto miałem bardzo niefajne doświadczenia z Firmą SEC Consult i nnaprawdę nie brałbym tego co mówią na poważnie…

    Odpowiedz
    • 2015.04.11 12:15 Adam

      Błąd istnieje, w kilku modelach potwierdziłem osobiście.

      Odpowiedz
  • 2015.04.11 12:21 morris4o

    Mam
    WR740N v4 00000000
    3.12.11 Build 110915 Rel.40896n
    i nie działa.

    Odpowiedz
  • 2015.04.11 14:06 Michał

    Jeżeli ktoś ma trochę wiedzy to może kupić router Mikrotik’a – jest w podobnej klasie cenowej co domowe routery a dostarcza już profesjonalne możliwości :)

    Odpowiedz
  • 2015.04.11 15:34 Tomek

    Connection: close
    WWW-Authenticate: Basic realm=”TP-LINK Wireless Dual Band Gigabit Router WDR3600″

    Username or Password is incorrect.
    Please refer to the troubleshooting below:

    = nie działa dla Firmware Version:
    3.13.31 Build 130320 Rel.55761n

    Odpowiedz
    • 2015.04.13 09:47 K6T

      Dodaj HTTP/1.1 na końcu linii wtedy dziala (jak na screenie)

      Odpowiedz
  • 2015.04.13 19:33 echo

    ciekawe słowa mi wycina z wpisów, kiedyś się nad tym zastanawiałem i myślałem że może to kwestia jakieś wtyczki, a później że może jestem pijany i sam sobie wycinam
    a potem do mnie dotarło że mam internet za darmo ze wsi

    Odpowiedz

Zostaw odpowiedź do a

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

W ruterach TP-LINKa i Belkina odkryto nowe, poważne błędy

Komentarze