Исследователи наткнулись на маршрутизатор, столь уязвимый и содержащий такое число уязвимостей, что его можно использовать практически для любых вредоносных целей. Атакующий может обойти процесс аутентификации, воспользоваться конфиденциальной информацией, хранимой в системных логах устройства, и даже исполнять команды с привилегиями уровня root, поскольку в маршрутизаторе присутствует вшитый пароль для учетной записи с привилегиями уровня root.

Тао Соваж (Tao Sauvage), ИБ-консультант из IOActive Labs, приобрел данный Wi-Fi-маршрутизатор производства BHU, который он назвал uRouter, во время недавней поездки в Китай. Веб-интерфейс устройства представлен на китайском языке, но специалист смог извлечь прошивку, заполучить доступ к оболочке и проанализировать код. Изучив несколько двоичных файлов, он обнаружил, что существует три различных способа, позволяющих заполучить административный доступ к веб-интерфейсу устройства.

Как говорится в блог-записи, опубликованной IOActive, по непонятным причинам маршрутизатор принимает все куки с идентификаторами сессии, а это значит, что кто угодно может выдать себя за аутентифицированного пользователя. Атакующий также может воспользоваться вшитым идентификатором сессии — 700000000000000 либо просмотреть системные логи и использовать присутствующие там значения идентификаторов сессий, для того чтобы заполучить доступ к функциям маршрутизатора, требующим аутентификации.

По словам эксперта, заполучив административный доступ, повысить привилегии до уровня root было нетрудно. Для использования некоторых функций и вовсе не требуется аутентификация. К таковым относится функция, обрабатывающая XML в теле запроса и ищущая соответствующую функцию обратного вызова.

Соваж отмечает, что маршрутизатор не проводит должного санирования значений XML, позволяя атакующему без особого труда внедрять команды, которые будут исполнены с привилегиями уровня root.

Эксперт заявляет, что при помощи анализатора пакетов вроде tcpdump маршрутизатор можно использовать для перехвата трафика. Помимо этого атакующий может перенаправить трафик, изменив настройки устройства, внедрить в него бэкдор или нарушить его работу, удалив критические файлы.

Устройство не располагает даже простыми защитными механизмами, в силу чего к нему можно заполучить доступ из ГВС. «Дефолтные настройки файервола не предотвращают доступ из ГВС», — пишет специалист.

Даже когда он посчитал, что обнаружил все имеющиеся уязвимости, оказалось, что при загрузке устройство включает использование SSH по умолчанию и перезаписывает вшитый пароль к учетной записи с правами уровня root.

«На практике это означает, что кто угодно, кому известен пароль к root-учетке, сможет подсоединиться к маршрутизатору по SSH и заполучить привилегии уровня root. Администратор не в силах изменить или удалить вшитый пароль, — пишет эксперт. — Этому устройству лучше в принципе не давать доступ к сети Интернет!»

Помимо этого маршрутизатор внедряет подозрительный сторонний JS-файл в HTTP-трафик. Хотя данный файл якобы должен «обеспечить дополнительный уровень конфиденциальности за счет продвинутой фильтрации», Соваж отмечает, что помимо странного модуля ядра, подгружаемого при загрузке устройства, файл может быть использован в качестве вектора атаки.

Неясно, известно ли компании-производителю BHU Networks Technology Co., Ltd, расположенной на территории Пекина, Китай, о том, насколько уязвим их продукт. Почтовый сервер компании немедленно отклонил письмо от Threatpost с запросом прокомментировать ситуацию.

К безопасности маршрутизаторов зачастую не подходят с должной ответственностью — пользователи не спешат обновлять прошивки, а вендоры далеко не всегда могут обезопасить устройства.

В начале этого лета Netgear выпустила обновления прошивки, чтобы устранить проблему, связанную с вшитыми криптоключами, позволявшими атакующим заполучить доступ с правами администратора, которым они могли воспользоваться для проведения MitM-атаки или для расшифровки перехваченных пакетов.

Схожий с нынешним набор уязвимостей был обнаружен в начале этого года в продукции тайваньской компании Quanta. Компания не стала заниматься разработкой патчей, поскольку уязвимое устройство ею более не поддерживалось.

Категории: Уязвимости