The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в устройствах NETGEAR, позволяющие получить доступ без аутентификации

02.07.2021 12:34

В прошивке к устройствам серии NETGEAR DGN-2200v1, сочетающим функции ADSL-модема, маршрутизатора и беспроводной точки доступа, выявлены три уязвимости, позволяющие выполнить любые операции в web-интерфейсе без прохождения аутентификации.

Первая уязвимость вызвана тем, что в коде http-сервера жёстко прошита возможность прямого обращения к картинкам, CSS и другим вспомогательным файлам, не требующая аутентификации. В коде имеется проверка запроса по маскам типовых имён файлов и расширений, реализованная через поиск подстроки во всём URL, в том числе в параметрах к запросу. В случае наличия подстроки страница отдаётся без проверки входа в web-интерфейс. Атака на устройства сводится к добавлению к запросу имени, присутствующего в списке, например, для обращения к настройкам WAN-интерфейса можно отправить запрос "https://10.0.0.1/WAN_wan.htm?pic.gif".

Вторая уязвимость вызвана использованием функции strcmp при сравнении имени пользователя и пароля. В strcmp сравнение осуществляется посимвольно до достижения отличий или символа с нулевым кодом, идентифицирующим окончанием строки. Атакующий может попытаться подобрать пароль, поэтапно перебирая символы и анализируя время до вывода ошибки аутентификации - если задержка увеличилась, значит подобран верный символ и можно переходить к подбору следующего символа в строке.

Третья уязвимость позволяет извлечь пароль из дампа сохранения конфигурации, который можно получить, воспользовавшись первой уязвимостью (например, отправив запрос "http://10.0.0.1:8080/NETGEAR_DGN2200.cfg?pic.gif)". Пароль присутствует в дампе в зашифрованном виде, но для шифрования используется алгоритм DES и постоянный ключ "NtgrBak", который можно извлечь из прошивки.

Для эксплуатации уязвимостей должна быть возможность отправки запроса на сетевой порт, на которым выполняется web-интерфейс (из внешней сети атака может быть совершена, например, при помощи техники "DNS rebinding"). Проблемы уже устранены в обновлении прошивки 1.0.0.60.

  1. Главная ссылка к новости (https://www.microsoft.com/secu...)
  2. OpenNews: 0-day уязвимость в устройствах Netgear, позволяющая удалённо получить root-доступ
  3. OpenNews: Уязвимости, позволяющие захватить управление коммутаторами Cisco, Zyxel и NETGEAR на чипах RTL83xx
  4. OpenNews: Уязвимость в устройствах Netgear, позволяющая получить управление без аутентификации
  5. OpenNews: В маршрутизаторах Netgear выявлена уязвимость, позволяющая узнать пароль входа
  6. OpenNews: Легко эксплуатируемая критическая уязвимость в маршрутизаторах Netgear
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55426-netgear
Ключевые слова: netgear
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (64) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, OnTheEdge (ok), 13:05, 02/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    > Третья уязвимость позволяет извлечь пароль из дампа сохранения конфигурации, который можно получить воспользовавшись первой уязвимостью

    просто прелесть, что первая, что последняя

     
     
  • 2.4, Аноним (-), 13:26, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Можно подумать что в ZyXEL-ях не так. За D-Link не скажу, но зюхелевый точно хранит пароль в открытом виде. D-Link DIR620 A и прошивка от ZyXEL.
     
     
  • 3.18, Аноним (18), 14:17, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Любителям проприетарщины пламенный привет.
     
  • 3.39, hefenud (ok), 17:25, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я тебе больше скажу, так любимый россиянами Мокротик хранит пароль в обратимом виде и его можно восстановить, хотя в официальной документации они пишут, что если ты пролюбил админский пароль, то сливайте свет, тушите воду
     
     
  • 4.44, Аноним (-), 21:01, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Они же никогда не скажут, что его можно восстановить просто так!
     
     
  • 5.45, hefenud (ok), 21:08, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ага. Просто как-то обратился чувак из гос.учреждения в Москве, я еще на родинке жил в то время, мокротик полностью настроенный и работающий, но пароль пролюбили, официальные инструкции говорят «Все сбрасывайте и перенастраивайте». Погуглил немного, скомпоновал информацию из разных источников, выяснил, что пароль хранится в обратимом виде, смог загрузить образ OpenWRT и подмонтировать раздел системы, вытащить файл и получить обратно пароль. И пофигу на официальные доки :-D
     
     
  • 6.54, Demo (??), 12:14, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Бред.
    Вернее, работало лет пять назад. В современных прошивках изменили хеш на более устойчивый к подбору.
    Сейчас в случае потери админского пароля можно с помощью netinstall запустить скрипт, в котором создаётся юзер с админскими правами.
     
     
  • 7.59, hefenud (ok), 22:45, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поменяли? Ну молодцы, чо
    А вот что можно создать юзера сомневаюсь, я на днях читал плак-плак, что если пролюбил пароль, то только сброс

    А по поводу, что лет пять назад, ну так я был вынужден покинуть Россию из соображений безопасности как раз пять лет назад, а это было где-то за год до того, так что все сходится

     
     
  • 8.62, Demo (??), 11:24, 04/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пару месяцев пришлось именно таким образом захачить , т к девайс долго был вы... текст свёрнут, показать
     
     
  • 9.63, hefenud (ok), 15:46, 04/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ясно Спасибо за инфу, буду знать Не факт что понадобится, но все равно лучше з... текст свёрнут, показать
     
  • 7.60, Анто Нимно (?), 23:36, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так заменить хэш на известный. Наоборот.
     

  • 1.2, ryoken (ok), 13:18, 02/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Все на OpenWRT!!!
     
     
  • 2.14, InuYasha (??), 13:53, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, давайте к нам )
     
     
  • 3.19, ryoken (ok), 14:21, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Да, давайте к нам )

    Давно на нём :). Как свой первый WNDR 4300 добыл - на стоке он прожил очень недолго, может с месяц :D.

     
  • 3.43, andy (??), 19:09, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    К кому это, к Вам?
     
     
  • 4.61, Анто Нимно (?), 23:38, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    К нам, на Ве Эр Тэ.
     

  • 1.3, Аноним (-), 13:24, 02/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    > серии NETGEAR DGN-2200v1, сочетающим функции ADSL-модема, маршрутизатора и беспроводной точки доступа,

    ADSL ещё жив? Серьезно, в век всякой там оптики и 10G по меди кто то его юзает? Это старье небось и в приданное не дают теперь.

     
     
  • 2.6, Аноним (6), 13:29, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В деревне особо выбирать не приходится либо ADSL, либо Dial-UP. Из 2 зол выбирай наименьшее, как говорится.
     
     
  • 3.8, ыы (?), 13:31, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В деревне GPON везде... вы о чем вобще?
     
     
  • 4.10, Аноним (6), 13:36, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О какой деревне мы говорим? За МКАДом? У нас в Сибирской глубинке ADSL появился совсем недавно и считается здесь просто инопланетными технологиями...
     
     
  • 5.12, ыы (?), 13:46, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Деревня это небольшой населенный пункт между нашим центром мира и моей дачей.. В ней постоянно пробки и чтобы их спокойно объезжать- ее обнесли МКАДом...
     
  • 5.24, Аноним (-), 14:35, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За МКАД-ом У Вас в Сибирской глубинке, как впрочем и любой другой глубинке, всё... большой текст свёрнут, показать
     
  • 5.35, user (??), 16:10, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    надо к вам перебираться. У нас последнее слово науки - это голубиная почта
     
  • 5.53, BrainFucker (ok), 11:03, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  За МКАДом?

    Да, говорят в Европе до сих пор очень популярен у домашних пользователей. Да и в Штатах вроде тоже.

     
  • 3.26, Гость (??), 14:51, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Этой если деревня до 5 км от крупного райцентра, и при этом далеко от трассы где нет 3.5-4G, что сейчас тоже редкость.
     
  • 3.50, Хан (?), 03:10, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В деревне ADSL? Лол ты хоть в деревне хоть раз был или на картинках только видел?

    ... в деревне на крыше на палку вешают CDMA/LTE модем, хотя я видел еще как на дереве возле дома модем висел

     
  • 2.7, Аноним (-), 13:30, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ADSL ещё жив? Серьезно, в век всякой там оптики

    Оплатишь прокладку?
    > и 10G по меди

    Писал бы сразу: 100500G по меди.

     
  • 2.11, Аноним (11), 13:37, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В Европе очень много мест где есть только ADSL
     
  • 2.21, OpenEcho (?), 14:27, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ADSL ещё жив?

    Судя по всему дите тщательно берегут от реального мира и еще не выпускали в мир с комфортной откормочной базы мегаполиса. Полетай по миру, - сильно удивишся !

     
     
  • 3.58, Пикапика (?), 21:29, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    2021 год, деда. В моем 50к захолустье pon/fttb
     
  • 2.41, anonymous (??), 17:57, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    It is still used in Europe, unfortunately :(
     
  • 2.65, DIO (?), 02:41, 05/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    наверное Вас сильно удивит но в Европе очень много АДСЛя
     

  • 1.5, Урри (ok), 13:27, 02/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    /facepalm/

    > В коде имеется проверка запроса по маскам типовых имён файлов и расширений, реализованная через поиск подстроки во всём URL, в том числе в параметрах к запросу.

    Ититьколотить. Это кто ж им такое писал то? Бомж за миску риса??

    Давненько я такого гoвнoкода не видел...

     
     
  • 2.9, ыы (?), 13:35, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Специалисты заняты обсуждением Раста на опеннете.. им некогда.. Вот и набирают по объявлению чтоб код писать...
     
  • 2.13, Аноним (13), 13:50, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты попробуй на сях лучше написать. Это ж тебе не spring framework где овердофига готового и структурированного. Здесь у тебя указатель на память и всё, делай что хочешь и как умеешь.
     
     
  • 3.22, ыы (?), 14:30, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати, а вы не в курсе, а за каким лядом им вообще понадобилось писать ЭТО на сях?? им php мало?
     
     
  • 4.33, Аноньимъ (ok), 15:47, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Железка слабая поди.
    И подпадает под эмбед.

    А пхп это плохой тон.
    Для меня загадка почему некоторые позволяют себе пхп где-то кроме криво свёрстанного вёрдпресса.

     
  • 3.27, Аноним (27), 14:52, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так не умеешь - иди раст обсуждать. Зачем в роутеры-то крюки совать.
     
  • 2.32, Аноньимъ (ok), 15:43, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Высококлассные Си инженеры системные писали.
    Это понимать нужно, не говнокод на пхп, не раст там всякий, тут мозги нужно иметь.
     
     
  • 3.34, Анончик (?), 16:00, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    обычно прикладуху и отдают самым зеленым писать, что бы учились. просто не досмотрели немного.
     
     
  • 4.42, Аноним (42), 18:39, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Намного О_о... Даже страшно представить что для вас "сильно недосмотрели"
     

  • 1.15, Ананоним (?), 13:54, 02/07/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +1 +/
     
     
  • 2.37, Lin (??), 16:15, 02/07/2021 Скрыто модератором
  • +/
     

  • 1.16, InuYasha (??), 13:58, 02/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так, погодите... Я тока проснулся. Откуда у микрософта исходники прошивки?
     
     
  • 2.17, Аноним (18), 14:16, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Текст на скрине выглядит как декомпилированнный, это не исходники.
     
     
  • 3.29, InuYasha (??), 15:15, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Текст на скрине выглядит как декомпилированнный, это не исходники.

    Вот, не удивлюсь, если он в оригинале так и выглядит! (или хуже)

     
  • 2.20, ryoken (ok), 14:25, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не исходники, почитайте статью по ссылке :). "In our research, we unpacked the router firmware and found three vulnerabilities that can be reliably exploited."

    Хотя само по себе удивительно, что монстрософт делает вид, что они не говнокодеры (ну или что они чуть меньшие говнокодеры :D ).

    (Не сидеть под рутом их до сих не научили что ли..?)

     
     
  • 3.23, ыы (?), 14:33, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Более того, микрософт (или кто там у них постарался) только что совершил действие, которое  сам микрософт в отношении своих продуктов резко не приветствует- он декомпилировал чужой софт...
     
     
  • 4.25, ыы (?), 14:37, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Более того, не только декомпилировал (что в морду их EULA Российское законодательство делать позволяет) но и разтрезвонил окружающим как оно там внутри устроено (а этого наше законодательство уже не позволяет).
    Двойные стандарты...
     
     
  • 5.28, ryoken (ok), 15:00, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Двойные стандарты...

    Я, конечно, далёк от идеи защищать монстрософт. Но вот это вот: "To answer these questions, we performed a static analysis of the HTTPd binary, along with some dynamic analysis by running QEMU, an open-source emulator, and hooking the specialized invocations (for example, NVRAM getters and setters)" как-то не похоже на декомпиляцию. Да и определение того, что же собссно за файл и распаковка образа фирмвари делается ну очень несложными методами (лично я взял бы программы file & 7z).

     
     
  • 6.30, ыы (?), 15:23, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "
    Принимая это соглашение или используя программное обеспечение, вы соглашаетесь со всеми настоящими условиями, а также даете согласие на передачу определенной информации в процессе активации и использования программного обеспечения в соответствии с Заявлением о конфиденциальности корпорации Microsoft, описанным в Разделе 4. Если вы не принимаете и не выполняете настоящие условия, вы не имеете права использовать данное программное обеспечение или его функции.
    "
    ...
    эта лицензия не предоставляет вам права:

    "
    пытаться обойти технические ограничения в программном обеспечении;
    "

    "
    изучать технологию программного обеспечения, декомпилировать, деассемблировать его или пытаться это сделать
    "
       // ну тут скриншоты вобщем все сами за себя говорят.

     

  • 1.31, Аноним (31), 15:33, 02/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Нетжыр, такой нетжыр.
     
  • 1.36, Онаним (?), 16:14, 02/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    1 и 3 суровы. Школьники писали на полставки?
     
  • 1.40, Аноним (40), 17:34, 02/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >можно отправить запрос "https://10.0.0.1/WAN_wan.htm?pic.gif"

    Подумаешь, отправить дик пик. А вообще, прикольно.

     
  • 1.46, Аноним (46), 23:10, 02/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В коде имеется проверка запроса по маскам типовых имён файлов и расширений, реализованная через поиск подстроки во всём URL, в том числе в параметрах к запросу.

    Была такая цитата...

    Каждый раз сталкиваясь с проблемой некоторые люди, говорят: "А давайте воспользуемся регулярными выражениями". Теперь у них две проблемы.

    История цитаты: http://regex.info/blog/2006-09-15/247

     
     
  • 2.52, Аноньимъ (ok), 08:35, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >The notion that everything is a stream of bytes is utterly braindead.

    Святой человек.
    Уровень специалистов с тех времён сильно понизился.

    >Каждый раз сталкиваясь с проблемой некоторые люди, говорят: "А давайте воспользуемся регулярными выражениями". Теперь у них две проблемы.

    Регулярки удобный инструмент. В данном случае он не причём, ошибка в архитектуре ПО.

     
     
  • 3.56, Аноним (46), 17:56, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сами по себе регулярки вообще прекрасный и замечательный инструмент Просто пере... большой текст свёрнут, показать
     
     
  • 4.57, Аноньимъ (ok), 20:25, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, всё так.
     

  • 1.47, Аноним (47), 23:39, 02/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Первая уязвимость вызвана тем, что в коде http-сервера жёстко прошита возможность прямого обращения к картинкам, CSS и другим вспомогательным файлам, не требующая аутентификации.
    ......
    "Третья уязвимость позволяет извлечь пароль из дампа сохранения конфигурации, который можно получить, воспользовавшись первой уязвимостью (например, отправив запрос "http://10.0.0.1:8080/NETGEAR_DGN2200.cfg?pic.gif)". Пароль присутствует в дампе в зашифрованном виде, но для шифрования используется алгоритм DES и постоянный ключ "NtgrBak", который можно извлечь из прошивки."

    К-к-к-комбо! xD

     
     
  • 2.48, Аноним (48), 23:42, 02/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > "Первая уязвимость вызвана тем, что в коде http-сервера жёстко прошита возможность прямого
    > обращения к картинкам, CSS и другим вспомогательным файлам, не требующая аутентификации.

    facepalm.jpg


     

  • 1.49, Ананоним (?), 00:29, 03/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну что за люди эти любопытные, всё время фичи палят... Как спецлюдям вы все надоели!
     
  • 1.51, КО (?), 07:10, 03/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1. http-сервера - кто ж в здравом уме его на нем подымет
    2. подобрать пароль - ну это не так себе уязвимость
    3. можно получить, воспользовавшись первой уязвимостью - смотреть пункт 1
     
  • 1.55, Ivanr (?), 13:53, 03/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может кто-нибудь пояснить, проверка одного символа в strcmp делается парой ассемблерных команд и занимает несколько наносекунд, в то время, как задержка по сети может колебаться в пределах нескольких миллисекунд, каким образом можно увидеть задержку в функции strcmp?
     
  • 1.64, Аноним (64), 23:10, 04/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно подумать в tp link нет подобных уязвимостей
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру