Не дождавшись патчей от Linksys, эксперты SEC Consult решились обнародовать уязвимости, о которых сообщили вендору еще в июле.

Как показало исследование, многие беспроводные роутеры линейки E производства Linksys уязвимы к атакам, позволяющим вызвать состояние отказа в обслуживании. Эта хранимая уязвимость кроется в веб-сервере сетевых устройств; по свидетельству SEC Consult, эксплойт в данном случае не требует аутентификации и осуществляется подачей специально сформированного GET-запроса на интерфейс CGI. Это простое действие приведет к перезагрузке роутера или зависанию веб-интерфейса и сервиса DHCP.

Другая уязвимость в веб-сервисе, найденная исследователями, открывает возможность для инъекций в HTTP-заголовки, если злоумышленник находится в локальной сети. Эксплойт этой бреши тоже не требует аутентификации и позволяет совершать вредоносные действия — к примеру, открыть редирект на зараженный сайт. В худшем случае злоумышленнику удастся украсть ID сессии прошедшего аутентификацию пользователя, так как этот идентификатор встраивается в URL, что тоже, по мнению экспертов, является ошибкой.

Эту ошибку SEC Consult поставила вендору на вид как отдельную уязвимость, возникшую из-за небезопасного способа обработки данных сессии. Однако исследователи не преминули отметить, что кража ID сессии, инициированной с правами администратора, возможна лишь в том случае, если пользователь уже аутентифицировался на устройстве и открыл сессию. При этом IP-адрес атакующего должен быть таким же, как и у ПК администратора.

Угон ID сессии открывает возможность для повторного использования разрешения на связь, выданного законному пользователю, то есть для CSRF-атаки. Эту уязвимость в административном интерфейсе можно использовать для подмены настроек роутера, заманив жертву на вредоносный сайт или заставив ее активировать вредоносную ссылку. Эксперты подчеркнули, что атака через Интернет возможна лишь в тех случаях, когда ID сессии доступен извне (например, через реферер).

Аналогичным образом, заполучив ID сессии, можно провести XSS-атаку и выполнить вредоносный код в контексте сессии браузера жертвы.

В своем бюллетене SEC Consult также приведены PoC-эксплойты для всех пяти уязвимостей.

Опасные бреши были первоначально обнаружены в Linksys E2500 версии 3.0.02 (во втором варианте сборки). В ходе переписки производитель подтвердил их наличие также в E900 версии 1.0.06, E1200 версии 2.0.07 (вариант 5) и E8400 AC2400. Дальнейшее исследование в SEC Consult позволило причислить к группе риска еще несколько серийных роутеров:

  • E900-ME версии 1.0.06,
  • E1500 версии 1.0.06 (сборка 1),
  • E3200 версии 1.0.05 (сборка 2),
  • E4200 версии 1.0.06 (сборка 3),
  • WRT54G2 версии 1.5.02 (сборка 5).

В отсутствие патчей эксперты рекомендуют ограничить сетевой доступ к уязвимым устройствам.

Заметим, Linksys не первый раз разочаровывает исследователей. В апреле текущего года IOActive, выждав положенные три месяца, была вынуждена пойти на публичное раскрытие уязвимостей, так как вендор все еще медлил, а проблемных устройств в Сети оказалось много.

Категории: Уязвимости