Websecurity - Веб безпека

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

В розділі WAN connections ситуація аналогічна розділу LAN connections. Розглянемо на прикладі дефолтного конекшена (RfcData).

Дана уразливість дозволяє видаляти конекшени.

http://192.168.1.1/configuration/wan_delete_service.html/delete?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fwan_finish.html&EmWeb_ns%3Avim%3A7.ImServices.RfcData=ImServices.RfcData&EmWeb_ns%3Avim%3A7.ImBridge.ImBridgeInterfaces.RfcData=ImBridge.ImBridgeInterfaces.RfcData

В розділі WAN connection: create service (http://192.168.1.1/configuration/wan_create_service.html) є 9 підрозділів для створення конекшенів: RFC 1483 routed, RFC 1483 bridged, PPPoA routed, PPPoA bridged, IPoA routed, PPPoE routed, Ethernet routed, Ethernet bridged, PPPoE over Ethernet/Bridge routed. І у всіх них через CSRF можна створювати конекшени.

В розділі Edit connection в підрозділі Edit Service (http://192.168.1.1/configuration/edit.html?ImServices.RfcData) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit RFC1483 (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Atm Channel (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData.ImChannels.item0) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Classifier (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData.ImChannels.item0.Classifier) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Bun Vector Attr (http://192.168.1.1/configuration/edit-form.html?ImServices. RfcData.RfcData.ImChannels.item0.Meter.MeterAppliedProfileName) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Scheduler (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData.ImChannels.item0.Scheduler) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Bridge Interface (http://192.168.1.1/configuration/edit.html? ImBridge.ImBridgeInterfaces.RfcData) через CSRF можна змінювати нашалтування конекшена.

В розділі Create virtual interface (http://192.168.1.1/configuration/create_virtual.html? ImRouter.ImIpInterfaces.ethernet-0&/configuration/wan.html) через CSRF можна створювати віртуальні інтерфейси.

В розділі Delete virtual interface (http://192.168.1.1/configuration/delete_virtual.html ?ImRouter.ImIpInterfaces.item0) через CSRF можна видяляти віртуальні інтерфейси.

XSS:

http://192.168.1.1/configuration/wan_delete_service.html/delete?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fwan_finish.html&EmWeb_ns%3Avim%3A7.1%3Cscript%3Ealert(document.cookie)%3C/script%3E=
http://192.168.1.1/configuration/virtual.html?&%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/create_virtual.html?&%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

У всіх вищезгаданих розділах є багато persistent XSS уразливостей.

В 9 підрозділах розділа WAN connection: create service (RFC 1483 routed, RFC 1483 bridged, PPPoA routed, PPPoA bridged, IPoA routed, PPPoE routed, Ethernet routed, Ethernet bridged, PPPoE over Ethernet/Bridge routed), в підрозділах Edit Service, Edit RFC1483, Edit Atm Channel, Edit Classifier, Edit Bun Vector Attr, Edit Scheduler, Edit Bridge Interface розділа Edit connection, в розділі WAN connection: delete, в розділі Create virtual interface та в розділі Delete virtual interface у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

А також можливі атаки через імена параметрів (коли XSS код задається в імені параметра), про що я писав раніше.

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html. А в підрозділі Edit Service при вказанні XSS коду в параметрі Creator, він виконається на сторінках http://192.168.1.1/configuration/wan.html і http://192.168.1.1/configuration/wan_delete_service.html? ImServices.RfcData, а при вказанні XSS коду в параметрі Description, він виконається також і на сторінці http://192.168.1.1/status.html, яка є стартовою сторінкою адмінки. А також спеціальний XSS код в обох цих параметрах виконається в самому підрозділі Edit Service.

This entry was posted on 23:50 23.07.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.