Уразливості в D-Link DSL-500T ADSL Router
23:54 08.12.2011У квітні, 24.04.2011, я виявив численні уразливості в ADSL модемі D-Link DSL-500T ADSL Router. Це Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості. Це перший advisory з серії записів про уразливості в продуктах D-Link.
При цьому даний модем я використовую в офісі ще з жовтня 2005, тому по суті про PRL та BF уразливості мені відомо ще з тих пір, а вже стосовно CSRF я перевірив в квітні цього року. Коли почав досліджувати питання безпеки ADSL модемів (і різних роутерів та інших мережевих пристроїв), зокрема ADSL модема Callisto 821+, про численні уразливості в якому я вже розповідав. Дані три уразливості аналогічні діркам в Iskra Callisto 821+.
Predictable Resource Location:
http://192.168.1.1
Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем (admin:admin). Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (через CSRF, в тому числі з використанням нищезгаданої CSRF атаки) отримувати доступ до адмінки і змінювати налаштування модема.
Дефолтні вищезгадані налаштування - це звичайна практика у виробників ADSL роутерів, але той же D-Link в нових своїх пристроях почав змінювати цю ситуацію, про що я розповім стосовно іншого пристрою цієї компанії. Але при цьому провайдери повинні вносити зміни, хоча той же Укртелеком цього не робить в модемах Callisto (що він надає своїм клієнтам). При цьому Інтертелеком, що надав нам в аренду цей DSL-500T, як раз змінив дефолтний пароль в адмінці.
Brute Force:
В формі логіна http://192.168.1.1 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), зокрема при локальній атаці. Наприклад, по LAN зловмисні користувачі або вірус на одному з комп’ютерів може провести атаку для підбору паролю, якщо він був змінений.
CSRF:
Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості в панелі керування. Які цілком можуть бути в ній, що я можу сказати виходячи з уразливостей в іншому пристрої D-Link, який я купив в листопаді 2011, а також по діркам в Callisto 821+ (тому що дірки в адмінках модемів і роутерів дуже поширені).
Понеділок, 19:22 12.12.2011
Євген, дивна Ви людина…
Вважати вразливістю пристрою його стандартну IP-адресу та лоджін/пароль при заводських налаштуваннях - це просто нісенітниця…
А захист від атак “Brute Force” на пристроях такого (домашнього) класу… Та ще й для пристрою, який було розроблено приблизно років вісім тому…
Ви що, з Місяця сюди прилетіли? Такі зауваження можна штампувати сотнями на день для всього обладнання класу SOHO, навіть не беручи пристрій у руки: взяв документацію, подивився заводські налаштування і - вперед…
Четвер, 23:45 15.12.2011
Angry
Я бачу ви без сумніву дивна людина, раз говорите такі нісенітниці
. Бо захищати уразливості, в тому числі в мережевих пристроях, і списувати їх на фічі (доволі поширене явище у виробників ПЗ, а ви в даному випадку виступаєте як користувач таких пристроїв з таким ПЗ), захищати виробників-диродєлів та потурати їх багаторічному ігноруванню проблем безпеки - це дуже дивна позиція. Це стосується уразливостей в усіх веб додатках.
І нерозуміння тих чи інших уразливостей у веб додатках, в точу числі з WASC TC, до яких відноситься й адмінка мережевих пристроїв - це ваші проблеми, які варто вирішувати. Щоб не писати мені подібні нісенітниці. Й не потурати жодним виробникам дірявого ПЗ, будь то мережеві пристрої з адмінками, веб додатки чи інше ПЗ.
Про уразливості класу Predictable Resource Location (WASC-34), які дуже давно відомі, ви можете почитати у відповідній документації та літературі. PRL відносяться як до адмінок веб додатків, так і адмінок пристроїв. Дуже мало на цей час є публічних веб додатків, що надають можливість (в тому числі під час інсталяції) змінити шлях до адмінки зі стандартного. Це найбільш забиваєма розробниками уразливість і при наявності авторизації та захисту від Brute Force це взагалі не проблема (тобто це лише додатковий елемент захисту, хоча іноді він може бути основним).
В мережевих пристроях те саме, тільки в основному пристрої дозволяють змінити його IP в адмінці (що дещо захистить від CSRF-атак, але не від локальних атак, де можуть просканувати різні IP), плюс ця опція доступна лише після інсталяції й особливо не використовується. Наявність стандартних логіна й пароля (це не PRL, але я відніс сюди, щоб “в купі” описати цю проблему), які не змінені, також розповсюджено - а для роботи пристрою це не потрібно, тому їх часто не змінюють. І так само наявність можливості змінити їх лише після заходу в адмінку, по бажанню, є ненадійним засобом - бо часто ігнорується. Тому потрібно, щоб була примусова зміна паролю після першої авторизації - як це вже зробив D-Link в DAP 1150, тобто до них нарешті вже дійшло.
Якщо стандартні логіни - це звичайна ситуація, то стандартні паролі не повинні використовуватися. Скільки ви знаєте веб сайтів з паролями по замовчуванню? Таких ви особливо не знайдете - тому що ще з кінця 90-х початку 2000-х всі CMS надають можливість змінити пароль адміна (а найбільш просунуті й логін). З чого ви взяли, що виробники мережевих пристроїв повинні мати адмінки на рівних веб додатків 90-х років, особливо коли зараз 2011 рік. Ось такі виробники “живуть на місяці”, а також ті дивні люди, що їм потурають.
Дірок бути не повинно, клас пристрою і його ціна - це не аргументи (для відмазки). Ще десь з початку 2000-х були безкоштовні опенсорсні CMS без BF уразливостей (захист був або вбудований, або через плагіни). Хто вам сказав, що пристрої які коштують гроші (й нормальні) повинні мати дірки, яких немає в безкоштовних веб додатках. При тому, що жодних дірок взагалі бути не повинно. При цьому собівартість розробки нормального не дірявого ПЗ для пристрою невисока, а при використанні його в мільйонах пристроїв (а якщо взяти різні моделі, де м.б. використане те саме ПЗ, то і в мільярдах) - взагалі нульова. І це при тому, що виробники пристроїв, як в даному випадку D-Link, не забувають додати вбудований Firewall та IPS в свої пристрої, в тому числі дешевого класу.
А ось наявність дефолтних паролів та Brute Force призводить до можливості занесення трояну у роутер, як в той же DSL-500T (про що розповідається в даній статті 2010 року). І цей аспект зовсім ігнорують виробники мережевих пристроїв.
Цей пристрій 2005 року. По даним прошивки в цьому модемі. Тобто лише шість років. І вік пристрою не має значення, що тоді, що зараз таких дірок бути в пристроях не повинно. В 2011 році D-Link вже почала розбиратися з дефолтним паролем (тільки треба дещо покращити), як я вже писав. Тепер справа за виправленням Brute Force та CSRF.
Такі дірки є і в пристроях більш дорогого класу й вони регулярно знаходяться і оприлюднюються. Хто сказав, що тільки дорогі пристрої варті, щоб про їхні дірки (в тому числі таких класів) писали - всі пристрої варті уваги, як і всі веб додатки, що в пристроях, що на веб сайтах, без виключень.