Multiples Vulnerabilidades en Cámaras IP de TRENDnet, Digicom, iPUX, ZoneNet y Airlink101
Multiples #Vulnerabilidades en Cámaras IP de #TRENDnet, #Digicom, #iPUX, #ZoneNet y #Airlink101
El día de hoy me llego esta vulberabilidad, la cual es importante para los usuarios de estas marcas, ya que actualmente no hay un Fix ni actualización que la corrija pero si pasos a seguir para su remediación.
INFORMACION DE LA VULNERABILIDAD
Clase: Funcionalidades Ocultas, Inyección de Comandos y código de encripción de contraseñas debil y vulnerable.
PRODUCTOS AFECTADOS
Las vulnerabilidades descritas en este Post están relacionados con un firmware para compartir entre varios dispositivos de diferentes fabricantes. Lamentablemente, no hemos sido capaces de identificar al fabricante del firmware actual: pedimos el nombre del fabricante del firmware para los vendedores, sin ningún éxito.
Confirmamos los productos de los fabricantes afectados y son los siguientes:
* TRENDnet
* Digicom
* iPUX
Los autores especulan que algunos productos de cámaras IP de los siguientes proveedores también se ven afectados:
* ZoneNet
* Airlink101
DETALLE DE LA VULNERABILIDAD
El firmware que se ejecutan en los productos afectados (cámaras IP) está sujeta a múltiples problemas de seguridad, que permiten a un atacante obtener acceso a nivel administrador al dispositivo y ejecutar comandos arbitrarios. En los párrafos siguientes se describen los detalles de las vulnerabilidades que hemos identificado.
a) Undocumented user
Es un usuario puede autenticarse en el servidor web, que se ejecuta en el dispositivo utilizando las credenciales “productmaker: ftvsbannedcode”. En “productmaker” el usuario puede acceder a un número limitado de páginas web (básicamente, todas las páginas en el marco del directorio “/cgi/maker/”).
b) Command-injection vulnerabilities
Algunas de las páginas web de la “productmaker” a las que se puede acceder, están sujetos a una vulnerabilidad de inyección de comandos, como la secuencia de comandos del lado del servidor, ya que no valida correctamente la entrada proporcionada por el usuario.
La siguiente URL explota una vulnerabilidad de inyección de comandos en el interior “unittest.cgi”. Se ejecuta el comando “ls” y muestra su resultado dentro de la página web generada:
http://<device IP address>/cgi/maker/unittest.cgi?action=asd;ls;date>/dev/null
Un problema similar que afecta también a la página “sn.asp”.
c) Hidden Telnet service
En “productmaker” un usuario puede habilitar un servidor Telnet mediante el acceso a la siguiente página web:
http://<device IP address>/cgi/maker/tools.cgi?telnet=1
La página genera un daemon, Telnet escucha en el puerto TCP 23. El daemon Telnet no requiere autenticación.
d) Weak password encryption
Las contraseñas de usuario se almacenan en “/server/usr.ini” y simplemente se codifica en base64.
e) Configuration encoding
Los usuarios pueden restaurar la configuración del dispositivo a través del interfaz web. La configuración se guarda en un archivo tgz (“config.cfg”) que se encuentra “cifrado” y que es fácil de revertir. El siguiente procedimiento Python decodifica el “cifrado” del archivo de configuración:
# ‘data’ is the content of the encrypted configuration file, as downloaded
# from the web interface
def conf_decode(data):
r = “”
for c in data:
x = ord(c) ^ ord(‘j’)
x = (~x) & 0xff
r += chr(x)
return r
Para codificar un archivo tgz normal en un archivo de configuración válido, sólo se aplica a la inversa del procedimiento “conf_decode”.
ACCESOS AL DISPOSITIVO SIN AUTORIZACION
Al aprovechar la vulnerabilidad mencionada, un atacante puede obtener fácilmente las credenciales de autenticación para el usuario “admin” de la siguiente manera:
1. Autenticarse como usuario oculto “productmaker”.
2. Aprovechar la vulnerabilidad de inyección de comandos para obtener el contenido del archivo dentro del servidor /server/usr.ini.
3. El servidor Web responde con la contraseña para el usuario “admin”, codificado en base64.
REMEDIACION
No tenemos conocimiento de una actualización de firmware que corrige los problemas descritos en este documento informativo. Mientras tanto, los usuarios pueden modificar las credenciales por defecto para el usuario “productmaker”, con el fin de inhibir el acceso no autorizado al dispositivo, los usuarios deben realizar las siguientes acciones:
1. Realice una copia de seguridad de la configuración del dispositivo.
2. Decodificar el archivo de configuración (ver punto “e” en la sección anterior).
3. Modificar en config/server/usr.ini el dentro del archivo tgz y reemplace la contraseña para el “maker” del usuario con una nueva.
4. Vuelva a generar el archivo tgz y codificar.
5. Sube el nuevo archivo de configuración en el dispositivo.
De antemano agradezco la información al autor de este descubrimiento y doy cumplimiento a sus derechos reservados.
[COPYRIGHT]
Copyright(c) Emaze Networks S.p.A 2011, All rights reserved worldwide.
Permission is hereby granted to redistribute this advisory, providing that no changes are made and that the copyright notices and disclaimers remain intact.
Emaze Networks has updated ipLegion, its vulnerability assessment platform, to check for this vulnerability. Contact info@emaze.net to have more information about ipLegion.
[DISCLAIMER]
Emaze Networks S.p.A is not responsible for the misuse of the information provided in our security advisories. These advisories are a service to the professional security community. There are NO WARRANTIES with regard to this information. Any application or distribution of this information constitutes acceptance AS IS, at the user’s own risk. This information is subject to change without notice.
Fuente: Roberto Paleari, Emaze Networks S.p.A (roberto.paleari@emaze.net)
Que tengan un excelente día y espero que esta información les sea de gran utilidad.
Saludos.
Victor Miranda
Victor Miranda
Professional Ethical Hacker, Pentester & Forensics Investigator MPCS, CEH v8, CSSP, CICP-CICAP HTCIA Member & ISECOM Member Twitter: @victormirandamx