Security
alert for D-Link routers
06 February 2013, 11:38
Bài được đưa lên
Internet ngày: 06/01/2013
Lời
người dịch: “Chuyên gia an ninh Michael Messner đã xác
định vài lỗ hổng trong các bộ định tuyến router của
D-Link như DIR-300 và DIR-600 mà cho phép những kẻ tấn
công chạy các lệnh tùy ý với ít nỗ lực”. Cho tới
thời điểm bài viết được đưa ra, chưa có sự chữa
trị nào từ phía D-Link.
Chuyên gia an ninh
Michael Messner đã xác định vài lỗ hổng trong các bộ
định tuyến router của D-Link như DIR-300 và DIR-600 mà
cho phép những kẻ tấn công chạy các lệnh tùy ý với
ít nỗ lực. Dù các phiên bản phần dẻo (firmware) hiện
hành cũng sẽ bị tấn công, thì nhà sản xuất bộ định
tuyến này dường như không có kế hoạch đóng lỗ hổng
này.
Messner mô tả trên
blog của ông cách một thông số POST đơn giản cho phép
các lệnh Linux sẽ chạy được ở mức root trên các bộ
định tuyến bị tổn thương. Không mật khẩu hoặc sự
xác thực khác nào được yêu cầu làm thế. Trong một
kiểm thử ngắn, các cộng tác viên của The H tại heise
Security đã thấy rằng nhiều dịch vụ thậm chí có thể
được truy cập từ Internet và xoay xở để tiêm một
lệnh độc hại vào một bộ định tuyến như vậy. Kẻ
tấn công thực tế có thể khai thác ngẫu nhiên các hệ
thống, ví dụ làm trệch hướng toàn bộ giao thông của
một bộ định tuyến tới một máy chủ của bên thứ 3.
Thậm chí nếu một
bộ định tuyến không truy cập được trực tiếp thông
qua Internet, thì lỗ hổng đặt ra một rủi ro an ninh lớn:
kẻ tấn công có thể sử dụng một trang giả mạo đặc
biệt để lừa những người chủ sở hữu bộ định
tuyến trong việc gửi đi một lời gọi script tới các bộ
định tuyến của họ thông qua mạng cục bộ của họ
(Cross-Site Request Forgery, CSRF). Messner nói rằng ông cũng đã
phát hiện ra những vấn đề an ninh tiếp nữa: trong số
những vấn đề đó, bộ định tuyến lưu mật khẩu root
ở dạng văn bản thô (plain text) trong tệp var/passw. Cùng
với lỗ hổng được mô tả trước đó, điều này sẽ
biến tác vụ trích tách mật khẩu root thành trò chơi trẻ
con - không phải là nó cần thiết, khi những kẻ tấn
công tiềm năng có thể chạy các lệnh ở mức root được.
Chuyên gia an ninh này
nói rằng ông đã thông tin cho D-Link về những phát hiện
của ông vào giữa tháng 12/2012. Tuy nhiên, dường như là
nhà sản xuất đã không nhận thức được mức độ của
khả năng bị tổn thương - hình như, D-Link đã nói rằng
vấn đề đó là có liên quan tới trình duyệt và rằng
công ty không có kế hoạch đưa ra một cập nhật phần
dẻo đẻ sửa nó. Messner viết rằng ông đã gửi các chi
tiết tiếp theo cho D-Link để nhấn mạnh tới tính nghiêm
trọng của tình huống, nhưng đã không nhận được trả
lời. Một yêu cầu làm sáng tỏ của heise Security tới
nay cũng vẫn chưa được D-Link trả lời.
Security
expert Michael Messner has identified several holes in D-Link's
DIR-300 and DIR-600 routers that allow potential attackers to execute
arbitrary commands with little effort. Although current firmware
versions are also affected, the router manufacturer does not appear
to be planning to close the hole.
Messner
describes
on his blog how a simple POST parameter allows Linux commands to
be executed at root level on vulnerable routers. No password or other
authentication is required to do so. In a short test, The H's
associates at heise Security found that many of the devices can even
be accessed from the internet and managed to inject a harmless
command into such a router. A real attacker could randomly exploit
systems, for example to divert a router's entire internet traffic to
a third-party server.
Even
if a router is not directly accessible via the internet, the hole
poses a significant security risk: an attacker could use a specially
crafted page to trick router owners into sending the script call to
their routers through their local network (Cross-Site Request
Forgery, CSRF). Messner said that he also discovered further security
issues: among other things, the router saves the root password in
plain text in the var/passwd file. Together with the previously
described hole, this turns the task of extracting the root password
into child's play – not that it is necessary, as potential
attackers can already execute commands at root level anyway.
The
security expert says that he informed D-Link of his discoveries in
mid-December 2012. However,
it appears that the manufacturer misjudged the scope of the
vulnerability – apparently, D-Link said that the issue is
browser-related, and that the company doesn't plan to release a
firmware update to fix it. Messner writes that he sent further
details to D-Link to emphasise the seriousness of the situation, but
never received a reply. A clarification request by heise Security has
so far also remained unanswered by D-Link.
Messner
was able to reproduce the holes in the following firmware versions:
Messner đã có khả
năng tái tạo các lỗ hổng trong các phiên bản phần dẻo
sau đây:
DIR-300:
- Phiên bản 2.12, phát hành ngày 18/01/2012
- Phiên bản 2.13, phát hành ngày 07/11/2012 (phiên bản hiện hành)
- Version 2.12, released 18 January 2012
- Version 2.13, released 7 November 2012 (current version)
DIR-600:
- Phiên bản 2.12b02, phát hành ngày 17/01/2012
- Phiên bản 2.13b01, phát hành ngày 07/11/2012
- Phiên bản 2.14b01, phát hành ngày 22/01/2013 (phiên bản hiện hành)
- Version 2.12b02, released 17 January 2012
- Version 2.13b01, released 07 November 2012
- Version 2.14b01, released 22 January 2013 (current version)
Vì không có cách thực
tế nào để ngăn ngừa một cuộc tấn công hiện nay,
giải pháp nhạy cảm nhất là cho dừng làm việc các bộ
định tuyến bị ảnh hưởng - và hy vọng là D-Link sẽ
đưa ra các cập nhật an ninh một ngày nào đó.
Một sự quét cổng
có thể được sử dụng để khẳng định liệu một bộ
định tuyến có truy cập được từ Internet hay không. Nếu
nó không truy cập được, thì không có nguy hiểm ngay lập
tức, nhưng rủi ro là các lệnh có thể được tiến hành
thông qua CSRF vẫn được. Điều này cũng có thể được
kiểm thử bằng việc gọi:
http:///command.php
trong một phiên mới
của trình duyệt. Nếu không có thông điệp báo lỗi và
cũng không có yêu cầu vào một mật khẩu được hiển
thị ra, thì có một rủi ro cao rằng hệ thống, trong thực
tế, bị tổn thương. Những người sử dụng các hệ
thống Linux cũng có thể kiểm tra điều này trực tiếp
bằng việc nhấn vào một lệnh như:
curl
--data "cmd=ls" http:///command.php
Trên một số thiết
bị, admin front-end chạy trên cổng 8080, trong trường hợp
này, thứ gì đó giống như là
192.169.0.1:8080
phải được gõ vào như là IP của bộ định tuyến.
As
there is virtually no way of preventing an attack at present, the
most sensible solution is to decommission the affected routers –
and hope that D-Link will provide security updates one day.
A
port scan can be used to confirm whether a router is accessible from
the internet. If it is not accessible, there is no immediate danger,
but the risk that commands could be injected via CSRF remains. This
can also be tested by calling
http:///command.php
in
a fresh browser session. If neither an error message nor a request to
enter a password is displayed, there is a high risk that the system
is, in fact, vulnerable. Users of Linux systems can also check this
directly by entering a command such as
curl
--data "cmd=ls" http:///command.php
On
some devices, the admin front-end runs on port 8080; in this case,
something like
192.169.0.1:8080
must be entered as the router IP.
(fab)
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.