В понедельник были преданы гласности серьезные уязвимости в ряде роутеров, бесплатно предоставляемых крупным тайским интернет-провайдером. Решение о публикации было принято по той причине, что уведомления, разосланные вендорам еще в июле, остались без ответа.

Исследователь Педру Рибейру (Pedro Ribeiro) из Agile Information Security обнаружил доступные аккаунты администратора и уязвимости внедрения команд в роутерах ZyXel и Billion, распространяемых TrueOnline, ведущим поставщиком широкополосной связи Таиланда.

Со слов Рибейру, информацию об этих багах он представил в компанию Beyond Security в рамках ее спецпрограммы SecuriTeam Secure Disclosure Program, и та в июле связалась с заинтересованными вендорами. Ныне вместе с деталями уязвимостей исследователь публикует свой PoC-эксплойт. Для трех обнаруженных им брешей созданы также модули Metasploit.

В комментарии Threatpost Рибейру отметил, что затрудняется сказать, когда и кем были привнесены уязвимости: самой TrueOnline в ходе кастомизации устройств или производителями. Представитель ZyXel заявил Threatpost, что указанные исследователем модели роутеров сняты с поддержки; готовит ли компания патчи, этот собеседник сообщить отказался. Аналогичный запрос о комментарии, посланный в Billion, ответ пока не вернул.

Согласно публикации Рибейру, уязвимостям подвержены роутеры P660HN-T v1 и P660HN-T v2 производства ZyXel, а также 5200 W-T, поставляемые Billion. Устройства этих моделей, в настоящее время распространяемые среди клиентов TrueOnline, построены на базе одной и той же системы на чипе — TC3162U от TrendChip. Для чипов TC3162U предусмотрены два варианта прошивки: ras со встроенным веб-сервером RomPager (от Allegro), подверженным атакам Misfortune Cookie, и tclinux. Последняя и содержит уязвимости, обнаруженные Рибейру. В частности, несколько asp-файлов, по его словам, уязвимы к атакам внедрением команд и, вполне вероятно, к Misfortune Cookie, но исследователь не проверял эту возможность.

«Следует отметить, что tclinux содержит файлы и параметры конфигурации на других языках (например, на турецком), — пишет Рибейру в информационном бюллетене. — Исходя из этого можно заключить, что эти версии прошивки не ограничены клиентурой TrueOnline и кастомизированные роутеры других интернет-провайдеров в разных странах тоже могут оказаться уязвимыми. Не исключено также, что к внедрению команд уязвимы и другие бренды и модели роутеров, использующие tclinux (а дефолтные регистрационные данные специфичны лишь для TrueOnline)».

Большинство находок Рибейру можно эксплуатировать удаленно, некоторые — без аутентификации. «Эти уязвимости присутствуют в веб-интерфейсе, — уточняет исследователь. — Дефолтные идентификаторы являются частью прошивки, развертываемой TrueOnline; они позволяют авторизоваться для удаленного доступа через WAN. Из-за нехватки времени и ограниченных исследовательских возможностей я не смог проверить доступность веб-интерфейсов из WAN, однако наличие вшитых идентификаторов говорит в пользу этого предположения».

Согласно Рибейру, роутеры P660HN-T v1 производства ZyXel подвержены внедрению команд без аутентификации, с возможностью удаленной атаки. Эта уязвимость связана с функцией удаленной переадресации системного журнала, встроенной в страницу ViewLog.asp. Эта же уязвимость присутствует в роутерах P660HN-T v2, но эксплойт в этом случае требует аутентификации.

«В отличие от P660HN-Tv1, внедрение здесь выполняется с аутентификацией и на странице logSet.asp, — пишет Рибейру. — Этот роутер также содержит прописанный в коде пароль администратора, который можно использовать для эксплойта. Возможность инъекции предоставляет страница logSet.asp, устанавливающая удаленную переадресацию записей syslog; уязвимым параметром в данном случае является serverIP».

Роутеры Billion 5200W-T также подвержены внедрению команд, с аутентификацией и без; уязвимость здесь привязана к странице adv_remotelog.asp. «В интерфейсе роутера Billion 5200W-T также присутствуют несколько других багов внедрения команд, в зависимости от версии прошивки, — к примеру, аутентифицированное внедрение команды в tools_time.asp (параметр uiViewSNTPServer), — говорится в бюллетене. — Следует отметить, что этот роутер содержит несколько вшитых в код административных аккаунтов, которые могут быть использованы для эксплуатации данной уязвимости».

Дефолтные и слабые, удаленно доступные регистрационные данные администратора Рибейру обнаружил во всех протестированных образцах устройств. Можно ли их пропатчить удаленно, неизвестно. «Учитывая наличие дефолтных идентификаторов, доступных удаленно, можно сказать, что дистанционное обновление прошивки вполне осуществимо», — полагает исследователь.

Категории: Аналитика, Уязвимости