Cảnh báo về an ninh đối với các bộ định tuyến router D-Link

Security alert for D-Link routers

06 February 2013, 11:38

Theo: http://www.h-online.com/security/news/item/Security-alert-for-D-Link-routers-1798804.html

Bài được đưa lên Internet ngày: 06/01/2013

Lời người dịch: “Chuyên gia an ninh Michael Messner đã xác định vài lỗ hổng trong các bộ định tuyến router của D-Link như DIR-300 và DIR-600 mà cho phép những kẻ tấn công chạy các lệnh tùy ý với ít nỗ lực”. Cho tới thời điểm bài viết được đưa ra, chưa có sự chữa trị nào từ phía D-Link.

Chuyên gia an ninh Michael Messner đã xác định vài lỗ hổng trong các bộ định tuyến router của D-Link như DIR-300 và DIR-600 mà cho phép những kẻ tấn công chạy các lệnh tùy ý với ít nỗ lực. Dù các phiên bản phần dẻo (firmware) hiện hành cũng sẽ bị tấn công, thì nhà sản xuất bộ định tuyến này dường như không có kế hoạch đóng lỗ hổng này.

Messner mô tả trên blog của ông cách một thông số POST đơn giản cho phép các lệnh Linux sẽ chạy được ở mức root trên các bộ định tuyến bị tổn thương. Không mật khẩu hoặc sự xác thực khác nào được yêu cầu làm thế. Trong một kiểm thử ngắn, các cộng tác viên của The H tại heise Security đã thấy rằng nhiều dịch vụ thậm chí có thể được truy cập từ Internet và xoay xở để tiêm một lệnh độc hại vào một bộ định tuyến như vậy. Kẻ tấn công thực tế có thể khai thác ngẫu nhiên các hệ thống, ví dụ làm trệch hướng toàn bộ giao thông của một bộ định tuyến tới một máy chủ của bên thứ 3.

Thậm chí nếu một bộ định tuyến không truy cập được trực tiếp thông qua Internet, thì lỗ hổng đặt ra một rủi ro an ninh lớn: kẻ tấn công có thể sử dụng một trang giả mạo đặc biệt để lừa những người chủ sở hữu bộ định tuyến trong việc gửi đi một lời gọi script tới các bộ định tuyến của họ thông qua mạng cục bộ của họ (Cross-Site Request Forgery, CSRF). Messner nói rằng ông cũng đã phát hiện ra những vấn đề an ninh tiếp nữa: trong số những vấn đề đó, bộ định tuyến lưu mật khẩu root ở dạng văn bản thô (plain text) trong tệp var/passw. Cùng với lỗ hổng được mô tả trước đó, điều này sẽ biến tác vụ trích tách mật khẩu root thành trò chơi trẻ con - không phải là nó cần thiết, khi những kẻ tấn công tiềm năng có thể chạy các lệnh ở mức root được.

Chuyên gia an ninh này nói rằng ông đã thông tin cho D-Link về những phát hiện của ông vào giữa tháng 12/2012. Tuy nhiên, dường như là nhà sản xuất đã không nhận thức được mức độ của khả năng bị tổn thương - hình như, D-Link đã nói rằng vấn đề đó là có liên quan tới trình duyệt và rằng công ty không có kế hoạch đưa ra một cập nhật phần dẻo đẻ sửa nó. Messner viết rằng ông đã gửi các chi tiết tiếp theo cho D-Link để nhấn mạnh tới tính nghiêm trọng của tình huống, nhưng đã không nhận được trả lời. Một yêu cầu làm sáng tỏ của heise Security tới nay cũng vẫn chưa được D-Link trả lời.

Security expert Michael Messner has identified several holes in D-Link's DIR-300 and DIR-600 routers that allow potential attackers to execute arbitrary commands with little effort. Although current firmware versions are also affected, the router manufacturer does not appear to be planning to close the hole.

Messner describes on his blog how a simple POST parameter allows Linux commands to be executed at root level on vulnerable routers. No password or other authentication is required to do so. In a short test, The H's associates at heise Security found that many of the devices can even be accessed f-rom the internet and managed to inject a harmless command into such a router. A real attacker could randomly exploit systems, for example to divert a router's entire internet traffic to a third-party server.

Even if a router is not directly accessible via the internet, the hole poses a significant security risk: an attacker could use a specially crafted page to trick router owners into sending the script call to their routers through their local network (Cross-Site Request Forgery, CSRF). Messner said that he also discovered further security issues: among other things, the router saves the root password in plain text in the var/passwd file. Together with the previously described hole, this turns the task of extracting the root password into child's play – not that it is necessary, as potential attackers can already execute commands at root level anyway.

The security expert says that he informed D-Link of his discoveries in mid-December 2012. However, it appears that the manufacturer misjudged the scope of the vulnerability – apparently, D-Link said that the issue is browser-related, and that the company doesn't plan to release a firmware up-date to fix it. Messner writes that he sent further details to D-Link to emphasise the seriousness of the situation, but never received a reply. A clarification request by heise Security has so far also remained unanswered by D-Link.

Messner was able to reproduce the holes in the following firmware versions:

Messner đã có khả năng tái tạo các lỗ hổng trong các phiên bản phần dẻo sau đây:

DIR-300:

• Phiên bản 2.12, phát hành ngày 18/01/2012

• Phiên bản 2.13, phát hành ngày 07/11/2012 (phiên bản hiện hành)

• Version 2.12, released 18 January 2012

• Version 2.13, released 7 November 2012 (current version)

DIR-600:

• Phiên bản 2.12b02, phát hành ngày 17/01/2012

• Phiên bản 2.13b01, phát hành ngày 07/11/2012

• Phiên bản 2.14b01, phát hành ngày 22/01/2013 (phiên bản hiện hành)

• Version 2.12b02, released 17 January 2012

• Version 2.13b01, released 07 November 2012

• Version 2.14b01, released 22 January 2013 (current version)

Vì không có cách thực tế nào để ngăn ngừa một cuộc tấn công hiện nay, giải pháp nhạy cảm nhất là cho dừng làm việc các bộ định tuyến bị ảnh hưởng - và hy vọng là D-Link sẽ đưa ra các cập nhật an ninh một ngày nào đó.

Một sự quét cổng có thể được sử dụng để khẳng định liệu một bộ định tuyến có truy cập được từ Internet hay không. Nếu nó không truy cập được, thì không có nguy hiểm ngay lập tức, nhưng rủi ro là các lệnh có thể được tiến hành thông qua CSRF vẫn được. Điều này cũng có thể được kiểm thử bằng việc gọi:

http://<router IP>/command.php

trong một phiên mới của trình duyệt. Nếu không có thông điệp báo lỗi và cũng không có yêu cầu vào một mật khẩu được hiển thị ra, thì có một rủi ro cao rằng hệ thống, trong thực tế, bị tổn thương. Những người sử dụng các hệ thống Linux cũng có thể kiểm tra điều này trực tiếp bằng việc nhấn vào một lệnh như:

curl --data "cmd=ls" http://<router IP>/command.php

Trên một số thiết bị, admin front-end chạy trên cổng 8080, trong trường hợp này, thứ gì đó giống như là 192.169.0.1:8080 phải được gõ vào như là IP của bộ định tuyến.

As there is virtually no way of preventing an attack at present, the most sensible solution is to decommission the affected routers – and hope that D-Link will provide security up-dates one day.

A port scan can be used to confirm whether a router is accessible f-rom the internet. If it is not accessible, there is no immediate danger, but the risk that commands could be injected via CSRF remains. This can also be tested by calling

http://<router IP>/command.php

in a fresh browser session. If neither an error message nor a request to enter a password is displayed, there is a high risk that the system is, in fact, vulnerable. Users of Linux systems can also check this directly by entering a command such as

curl --data "cmd=ls" http://<router IP>/command.php

On some devices, the admin front-end runs on port 8080; in this case, something like 192.169.0.1:8080 must be entered as the router IP.

(fab)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com