Численні CSRF і XSS уразливості в ADSL модемі Callisto 821+
23:51 16.07.2011Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).
Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.
Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.
CSRF:
В розділі LAN connection: Ethernet routed (http://192.168.1.1/configuration/lan_create_service.html?
EmWeb_ns:vim:3=/configuration/lan_ether_routed.html) через CSRF можна додати конекшен.
В розділі LAN connection: Ethernet bridged (http://192.168.1.1/configuration/lan_create_service.html?
EmWeb_ns:vim:3=/configuration/lan_ether_bridged.html) через CSRF можна додати конекшен.
В розділі LAN connections (http://192.168.1.1/configuration/lan.html) фунціонал редагування та видалення конекшенів явно також уразливий до CSRF. Але так як в моєму модемі фунціонал створення конекшенів працював некоректно (не можна було їх створити), то не було змоги це перевірити.
XSS:
В вищезгаданих функціоналах багато persistent XSS уразливостей.
http://192.168.1.1/configuration/lan_create_service.html?EmWeb_ns:vim:9=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/lan_create_service.html?EmWeb_ns:vim:10=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/lan_create_service.html?EmWeb_ns:vim:11=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/lan_create_service.html?EmWeb_ns:vim:15=%3Cscript%3Ealert(document.cookie)%3C/script%3EА також атаки через імена параметрів (коли XSS код задається в імені параметра), про що я писав раніше.
В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.
В розділі LAN connection: Ethernet routed (http://192.168.1.1/configuration/lan_create_service.html?
EmWeb_ns:vim:3=/configuration/lan_ether_routed.html) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості (включаючи XSS атаки через імена параметрів).
В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html. А у випадку деяких полів XSS код спрацює на сторінці http://192.168.1.1/configuration/lan.html.
В розділі LAN connection: Ethernet bridged (http://192.168.1.1/configuration/lan_create_service.html?
EmWeb_ns:vim:3=/configuration/lan_ether_bridged.html) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості (включаючи XSS атаки через імена параметрів).
В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html. А у випадку деяких полів XSS код спрацює на сторінці http://192.168.1.1/configuration/lan.html.
