Уязвимость в роутерах Netgear эксплуатируется на практике

В роутерах Netgear N300 обнаружили уязвимость. Ну да, еще одна дыра в роутерах, и как-то получается, что они все разные, но при этом на одно лицо. В одной из прошлых серий уже обсуждали пачку дыр в устройствах Belkin. У Netgear причем все как-то совсем обидно. Открываем веб-интерфейс роутера. Вводим пароль, неправильный, так как роутер чужой и пароль мы не знаем. Нас отправляют на страничку, где пишут Access Denied. Но если попытаться открыть страничку с именем BRS_netgear_success.html, то… нас тоже никуда не пустят. А вот если попытаться сделать это несколько раз подряд, то — пустят.

Роутер NetgearЕстественно, при этом желательно быть уже внутри локальной сети, что несколько усложняет задачу. Хотя если роутер, например, раздает WiFi в кафе, то попасть внутрь — не проблема. А если владелец зачем-то включил доступ к веб-интерфейсу из интернета, то вообще все просто. Кстати, кто-нибудь может сказать, зачем в принципе нужен доступ к веб-интерфейсу снаружи? Именно к веб-интерфейсу роутера, а не к каким-нибудь штукам в локальной сети. Мне кажется причин так делать вообще нет, а поводов НЕ делать, как видите, предостаточно.

В общем-то тут все шло достаточно хорошо: вендора уведомили, через два месяца он сделал бета-версию прошивки. Еще бы чуть-чуть и обошлось, но нет, оказалось, что уязвимость эксплуатируют, что называется, «в полях». Швейцарская компания Compass Security обнаружила такой роутер с измененными настройками: в качестве DNS-сервера был прописан не адрес провайдера, как это обычно бывает, а не пойми что. Соответственно, через это непоймичто проходили все DNS-запросы. Исследование сервера атакующих показало, что он «обслуживает» больше 10 тысяч взломанных роутеров.

Fun fact: компания Compass Security довольно долго не могла добиться никакого ответа от NetGear. Затем диалог таки случился, и им даже прислали бета-версию прошивки на проверку. Но тут (откуда не возьмись) появилась компания Shellshock Labs и опубликовала свое исследование той же уязвимости вообще ни с кем не договариваясь (что как бы не очень хорошо). Конечно, назвать компанию в честь бага в bash — это круто, но принцип «не навреди» никто не отменял. Зато из исследования «потрясателей шелла» становится понятно, откуда взялась уязвимость в веб-интерфейсе. В коде прошивки предусмотрена возможность войти в веб-интерфейс без пароляодин раз, при первом запуске. Чтобы дальше это не работало, был предусмотрен флажок, про который просто забыли. Да, прошивку в итоге все же обновили.

Источник:  http://habrahabr.ru/company/kaspersky/blog/268907/