Нові CSRF і XSS уразливості в ADSL модемі Callisto 821+

23:54 30.05.2011

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє задати налаштування Default LAN Port. Наприклад, можна змінити поточний IP модема чи задати додатковий IP.

Callisto 821+ CSRF7.html

XSS:

В даній формі також є 16 (а по суті нескінченна кількість) persistent XSS уразливостей.

Callisto 821+ XSS7.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Уразливості в офіційних параметрах EmWeb_ns:vim:12.ImLanReconfig:ipaddress:0 (або 1, 2, 3), а також в неіснуючих параметрах EmWeb_ns:vim:12.ImLanReconfig:ipaddress:4 (або будь-який інший символ) чи навіть без вказання ipaddress - EmWeb_ns:vim:12.ImLanReconfig.

Callisto 821+ XSS8.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Уразливості в офіційних параметрах EmWeb_ns:vim:12.ImLanReconfig:netmask:0 (або 1, 2, 3), а також в неіснуючих параметрах EmWeb_ns:vim:12.ImLanReconfig:netmask:4 (або будь-який інший символ).

Callisto 821+ XSS9.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Уразливості в офіційних параметрах EmWeb_ns:vim:12.ImLanReconfig:mgmt_ipaddress:0 (або 1, 2, 3), а також в неіснуючих параметрах EmWeb_ns:vim:12.ImLanReconfig:mgmt_ipaddress:4 (або будь-який інший символ).

Про подібні “нескінченні” уразливості я писав в статті Як знайти мільярд XSS уразливостей.


Leave a Reply

You must be logged in to post a comment.