R7-2015-01: CSRF, Backdoor y XSS persistente en los módems de cable ARRIS / Motorola

Al combinar una serie de vulnerabilidades distintas, los atacantes pueden tomar el control de la interfaz web de los módems de cable populares para comprometer aún más los hosts internos sobre una interfaz externa.

Producto afectado

Módem por cable Wi-Fi ARRIS / Motorola SURFboard serie SBG6580

El proveedor describe el dispositivo como una "solución de red doméstica todo en uno totalmente integrada que combina la funcionalidad de un módem por cable DOCSIS/EuroDOCSIS 3.0, un conmutador Ethernet 10/100/1000 de cuatro puertos con firewall avanzado y un 802.11 n Punto de acceso Wi-Fi rentable, eficiente y seguro".

Las versiones de firmware SBG6580Ð6.5.2.0-GAÐ06Ð077-NOSH y SBG6580-8.6.1.0-GA-04-098-NOSH se han confirmado como vulnerables.

Descripción general de la vulnerabilidad

La interfaz web de Arris/Motorola Surfboard SBG6580 tiene varias vulnerabilidades que, cuando se combinan, permiten que un sitio web externo arbitrario tome el control del módem, incluso si la víctima no ha iniciado sesión actualmente. El atacante debe saber, o adivinar, con éxito la dirección IP de la puerta de enlace interna de la víctima. Suele ser un valor predeterminado de 192.168.0.1.

Es importante enfatizar que, tomadas por separado, estas vulnerabilidades no son tan inusuales para los dispositivos integrados con interfaces de administración web. Sin embargo, en conjunto, un atacante puede realizar reconfiguraciones de red maliciosas.

Vulnerabilidad CSRF (CVE-2015-0965)

Debido a la falta de protecciones contra la falsificación de solicitudes entre sitios (CSRF) en el formulario de inicio de sesión del dispositivo, un sitio web arbitrario puede realizar una acción de inicio de sesión en nombre del navegador de la víctima, sin el conocimiento del usuario.

Vulnerabilidad de puerta trasera (CVE-2015-0966)

Una vez que está en condiciones de iniciar sesión en la interfaz administrativa de un dispositivo SURFboard, la autenticación se vuelve trivial debido a la presencia de una cuenta de puerta trasera preinstalada ampliamente conocida. Los dispositivos probados tenían un usuario "técnico" con la contraseña "yZgO8Bvj". Es posible que haya otras cuentas instaladas por proveedores de servicios y revendedores.

Vulnerabilidad XSS (CVE-2015-0964)

Una vez que haya iniciado sesión correctamente, una vulnerabilidad XSS persistente en la página de configuración del firewall puede permitir que los atacantes autenticados inyecten Javascript capaz de realizar cualquier acción disponible en la interfaz del enrutador.

Detalles de vulnerabilidad

La inyección del script se produce en la sección Registro local del cortafuegos de la interfaz web. La siguiente solicitud HTTP obtendrá XSS persistente en la interfaz del enrutador, siempre que la víctima esté autenticada:

 POST /goform/RgFirewallEL HTTP/1.1 Host: 192.168.0.1 Connection: keep-alive Content-Length: 128 Cache-Control: max-age=0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Origin: http://192.168.0.1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36 Content-Type: application/x-www-form-urlencoded Referer: http://192.168.0.1/RgFirewallEL.asp Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.8 EmailAddress:<script@a.com<scriptalert(1)</scriptSmtpServerName: SmtpUsername: SmtpPassword: LogAction:0

Impacto de la explotación exitosa

Un atacante remoto puede obtener control total sobre el enrutador de un objetivo a través de la interfaz web y UPnP. A continuación se describe un escenario de explotación:

  1. La víctima hace clic en un enlace que conduce a una página controlada por el ataque, con Javascript habilitado en el navegador de la víctima.
  2. El código malicioso toma las huellas dactilares del enrutador de la víctima en función de una imagen proporcionada por la interfaz web.
  3. El código malicioso intenta iniciar sesión con credenciales adivinadas (admin/motorola)
  4. El código malicioso envía una solicitud CSRF con carga útil XSS incrustada
  5. El código malicioso carga la página reflejada en un iframe invisible y representa la carga útil XSS inyectada
  6. El código malicioso ahora puede modificar la configuración del enrutador y configurar la red de la víctima para una mayor exfiltración y explotación.

El módulo Metasploit, publicado junto con este aviso, aprovecha las tres vulnerabilidades para colocar un extremo interno arbitrario en la DMZ de la red afectada, exponiendo así todos los servicios en ejecución al acceso directo a Internet.

Además, el módulo Metasploit descarga automáticamente una copia de todos los clientes DHCP registrados, completa con sus direcciones MAC, direcciones IP y nombres de host.

Soluciones y mitigaciones recomendadas

El proveedor puede mitigar estos problemas con lo siguiente:

  1. Mejor saneamiento de la entrada de EmailAddress a /goform/RgFirewallEL.
  2. Token CSRF normal o validación de referencia HTTP en todos los formularios.
  3. Agregue un encabezado X-Frame-Options para restringir la inyección de Javascript.
  4. Deje de emitir credenciales de puerta trasera reutilizables.

Los usuarios afectados pueden mitigar su exposición solo visitando sitios web de Internet desde un dispositivo que no puede comunicarse con la interfaz de administración web en módems de cable vulnerables. Si bien esta capacidad no parece estar presente en el dispositivo SURFboard, la configuración de una regla de firewall local personalizada puede evitar la conectividad accidental (o maliciosa), al igual que la configuración de un firewall/puerta de enlace de hardware adicional para limitar la comunicación de los hosts internos al dispositivo vulnerable.

Crédito

Estas vulnerabilidades fueron descubiertas por el investigador de seguridad independiente Joe Vennix.

Cronograma de divulgación

  • Sáb 03 de enero de 2015: Descubrimiento inicial y PoC escritos y demostrados.
  • Vie 23 de enero de 2015: se buscan contactos de seguridad en el proveedor para informar.
  • Jueves 19 de febrero de 2015: problemas revelados y PoC a CERT/CC.
  • Vie 3 de abril de 2015: CVE asignados por CERT/CC.
  • Miércoles 08 de abril de 2015: Publicación del módulo Public Disclosure y Metasploit (PR #5105).

*Se actualizó el cronograma de divulgación para reflejar con precisión que los CVE se asignaron en abril, no en febrero.

Video: attack on motorola modem

Similar Articles

Most Popular