16 feb. 2013

Obtener acceso a router D'Link Dir-300/600

Hoy quise probar la vulnerabilidad que publico s3cur1ty_de para ver en texto plano las credenciales de administración "tan solo" abriendo la terminal y ejecutando curl, aunque suena increíble y escalofriante, así es...

Hay que tener en cuenta que este problema de seguridad afecta las siguientes versiones:

D'Link DIR-300
Versión de Firmware: 2.12 - 18.01.2012
Versión de Firmware: 2.13 - 07.11.2012

D'Link DIR-600
Versión de Firmware: 2.12b02 - 17/01/2012
Versión de Firmware: 2.13b01 - 07/11/2012
Versión de Firmware: 2.14b01 - 22/01/2013



Sabiendo las versiones afectadas ubicamos nuestro target:


Como podemos ver en la imagen, la versión del Firmware es 2.11 por lo que deducimos que es posible encontrar en versiones anteriores a las reportadas dicho problema.

Ahora si vamos a verificar si se pueden ejecutar comandos remotamente sin autenticación:


Efectivamete podemos ejecutar comandos sobre el dispositivo, en la imagen se ve como listamos los directorios ubicados en la raíz:
$ curl --data "cmd=ls -hal /"  http://target/command.php

Empecemos a listar los ficheros:


En /var observamos un fichero muy llamativo (passwd), veamos que tiene:


Y he aquí el anhelado password de admin, ¡en texto plano!
Ahora validemos el acceso vía web:


 Listo, ya hemos ingresado y con el control total del dispositivo...


Contramedidas:

- Actualizar inmediatamente a la ultima versión de Firmware.
- Configurar el Firewall para mitigar el acceso no autorizado a nuestros dispositivos y hacia la red interna.
- Cambiar puertos conocidos para la administración web (80, 443, 8080).
- En lo personal cambiaría el firmware D'Link por un DD-WRT :-D, aquí la lista de dispositivo soportados.

No hay comentarios: