Araştırmacılar, D-Link yönlendirici ailesinde, saldırganların cihazları ele geçirmesine ve kök ayrıcalıklarıyla komutları yürütmesine olanak tanıyan sıfır gün güvenlik açığına yönelik bir istismar yayınladı.
SSD Güvenli Açıklama araştırmacı ekibi, D-Link DIR-X4860 yönlendiricilerindeki HNAP oturum açma isteklerinin işlenmesiyle ilişkili bir kusur için kavram kanıtını ortaya koyan bir istismar yayınladı. bir blog yazısı 14 Mayıs’ta yayınlandı. Güvenlik açığı, cihazın ele geçirilmesini sağlamak için bir güvenlik açıkları zincirinin parçası olarak kullanılabilir.
SSD ekibinin “Noamr”ına atfedilen gönderiye göre, “DIR-X4860’taki güvenlik açıkları, HNAP bağlantı noktasına erişebilen, kimlik doğrulaması yapılmamış uzak saldırganların yükseltilmiş ayrıcalıklar elde etmesine ve komutları kök olarak çalıştırmasına olanak tanıyor.” “Kimlik doğrulama bypass’ını komut yürütmeyle birleştirerek cihazın güvenliği tamamen tehlikeye girebilir.”
En ciddi kusur, yönlendiricinin HNAP oturum açma isteklerini işlemesinde kimlik doğrulama algoritmasının düzgün şekilde uygulanmamasından kaynaklanmaktadır. HNAP, ağ cihazlarının tanımlanması, yapılandırılması ve yönetimi için SOAP tabanlı bir protokoldür.
Gönderiye göre “Sorun, kimlik doğrulama algoritmasının düzgün şekilde uygulanmamasından kaynaklanıyor.” “Bir saldırgan, ayrıcalıkları yükseltmek ve yönlendirici bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.”
Yanıt Yok, Yama Yok
Adı açıklanmayan bir araştırmacı tarafından SSD ekibiyle birlikte keşfedilen HNAP kusuru ve istismar zinciri, DIRX4860A1_FWV1.04B03 donanım yazılımını çalıştıran DIR-x4860 cihazlarını etkiliyor. Yönlendirici serisinin evde kullanılması amaçlanıyor, ancak uzlaşma, uzaktaki bir iş gücünün kullanıcıları aracılığıyla kurumsal ağları etkileyebilir.
SSD, geçtiğimiz ay konu hakkında D-Link’e üç kez ulaştı; ancak gönderiye göre şu ana kadar bir yanıt alamadılar. D-Link, bugün Dark Reading’in yorum talebine hemen yanıt vermedi.
D-Link kusurları, savunmasız cihazları kullananlar ve potansiyel olarak geniş bir erişime sahip olanlar için ciddi bir risk oluşturabilir. Geçmişteki güvenlik açıklarından yararlanıldı cihazlarla kavga etmek bir botnet’e girdi ve hassas verileri çalmak ağa bağlı depolama (NAS) aygıtlarından. Şirketin kendisi de önemli bir olayın kurbanı oldu. güvenlik ihlali Geçmişte kaynak kodu ve müşteri verileri ifşa edilmişti.
Saldırı Zinciri
SSD, kimlik doğrulamayı atlamak ve ardından HNAP kusurundan yararlanmak için adım adım bir süreç sağladı. Ayrıca başkalarının kusur zincirinden yararlanmak için kullanabileceği destekleyici kavram kanıt belgeleri de yayınladılar.
Sürecin ilk adımı, özel hazırlanmış bir HNAP oturum açma isteği göndermek ve yanıtı beklemektir; bu, yanıt verilerini döndürür: Challenge, Cookie, PublicKey. Araştırmacılar, bir saldırganın yönetici hesabı için meşru bir şifre oluşturmak amacıyla bu değerleri kullanabileceğini söyledi.
Gönderiye göre “Çerez, sonraki tüm HTTP istekleri için çerez başlığı olarak kullanılırken Challenge ve PublicKey, şifreyi şifrelemek ve HTTP başlığında HNAP_AUTH kimlik doğrulaması oluşturmak için kullanılır.”
Daha sonra /bin/prog.cgi dosyasında, oturum açma isteğini işleyen işlevde ortaya çıkan bir güvenlik açığı bulmaya devam edebilirler. Genellikle bu istek bir parola alır ve ardından özel bir anahtar oluşturur, ancak bu burada gerçekleşmez.
Noamr, “PrivateLogin parametresi isteğe dahil edildiğinde ve PrivateLogin parametresinin değeri ‘Kullanıcı adı’ olduğunda, o zaman PrivateKey, yönetici olarak Kullanıcı Adı parametresinin değerinden oluşturulur” diye yazdı.
Bu, bir saldırganın oturum açma isteği gerçekleştirmesi durumunda, oturum açma kimlik doğrulamasını atlamak için gerçek parolayı bilmeden ilgili verileri hesaplamak amacıyla parola olarak “admin” kullanılabileceği anlamına gelir.
HNAP Kusurunun Özellikleri
Gönderiye göre HNAP kusuru, “80 ve 443 numaralı TCP bağlantı noktalarını dinleyen lighttpd web sunucusuna yapılan HNAP isteklerini işleyen” prog.cgi’de mevcut.
Noamr, “Sorun, kullanıcı tarafından sağlanan bir dizenin, bir sistem çağrısını yürütmek için kullanılmadan önce uygun şekilde doğrulanmamasından kaynaklanıyor.” diye yazdı. “Bir saldırgan, kök bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.
Özellikle, güvenlik açığı SetVirtualServerSettings’i işleyen işlevdeki /bin/prog.cgi dosyasında yer alıyor. Gönderiye göre “LocalIPAddress parametresi saldırgan tarafından kontrol ediliyor ve ardından FCGI_popen işlevine yapılan bir çağrı komut enjeksiyonuna neden olabilir.”
Dark Reading’in bir SSD temsilcisi, D-Link’in yanıtı olmadan araştırmacıların “bu güvenlik açığını nasıl azaltacaklarını bilmelerinin hiçbir yolu yok” diyor.
Sözcü, “D-Link’e gönderilen birçok e-posta yanıtsız kaldı ve bu güvenlik açığını kamuoyuna duyurmadan hak ettiği ilgiyi çekmenin bir yolu olmadığını hissettik” dedi ve şirketin geçmişte güvenlik açığı açıklamalarına daha hızlı yanıt verdiğini ekledi.
Ayrı bir yayınlanan rapor kusur üzerinde, etkilenen bir cihazın kullanıcılarının sömürüyü önlemek uzaktan erişim yönetimi arayüzünü devre dışı bırakarak.