lunes, 31 de diciembre de 2012

Vulnerabilidad Directory Traversal en módems 2wire 4011G y 5012NV

Dispositivos afectados:
2wire 4011G-001 con firmware <= 9.1.1.16
2wire 5012NV-002 con firmware <= 9.3.1.29
Posiblemente otros con firmware 9.x.x.x

Descripción:
Existe una vulnerabilidad en el formulario de inicio de sesión del portal de configuración por http de estos módems, específicamente en el control oculto llamado __ENH_ERROR_REDIRECT_PATH__ que no es validado correctamente en el servidor. Un atacante sin autenticación puede manipular su valor para obtener del dispositivo archivos con contraseñas de fábrica en texto plano, configuraciones, etc.

Severidad:
Alta

Contramedidas:
Al no contar con una Lista de Control de Acceso, no es posible protegerse efectivamente contra este ataque. Los usuarios que cuenten con estos modelos deben exigir un nuevo firmware (aún no disponible) o pedir un cambio de módem a su ISP.

Historial:
  • La descubrí en septiembre del 2012
  • Intento de contacto con Pace. De su página web: "if you are an end-user of a Pace set-top box or gateway product that you acquired from a service operator or retailer, please contact them directly for any support issues."
  • Intento de contacto con el ISP (TELMEX en mi caso). Envío de datos atravez de redes sociales: Nunca llaman de regreso.
  • Publicada el 31 de diciembre de 2012

Prueba de concepto:
Hice un script para nmap, si identifica al objetivo como 2wire intenta obtener varios archivos.
Enlace de descarga: PoC
Estadísticas (buscar rhttpd): internetcensus2012.bitbucket.org
ACTUALIZACIÓN: El enlace de descarga apunta a la versión más reciente del script y la salida será diferente, sin embargo la funcionalidad es la misma, ver mejoras.