1 2 3 4 5 6

Vulnerabilidad de Negación de Servicio en rutedores 2Wire

pdf

Introducción

A finales del año 2007 se comenzaron a encontrar vulnerabilidades sobre los módems/routers marca 2wire. Este tipo de dispositivos son normalmente distribuidos en México por Telmex para brindar el servicio de Internet de banda ancha ADSL. Dichas vulnerabilidades fueron de alto impacto debido a que lograban obtener privilegios administrativos y así se podía tomar control total del sistema afectado. Desde entonces fueposible vislumbrar la trascendencia que estos dispositivos están teniendo en el mercado y que el impacto de una vulnerabilidad ponía en riesgo a miles de usuarios, por lo menos en México, donde son muy utilizados. Así, en noviembre 8 de 2008 se publicó una nueva vulnerabilidad, la cual compromete la disponibilidad al provocar una negación del servicio de Internet que proporcionan estos equipos.

Análisis de la Vulnerabilidad

El código exploit fue publicado a través de Internet en la misma fecha. Dicho exploit aprovecha una vulnerabilidad en el servicio web utilizado para la administración del dispositivo. Cabe señalar que la explotación se lleva a cabo por medio de un parámetro desde la URL.

http://gateway.2wire.net/xslt-page=%[&@!+;:-~*--()^$#-_...]
http://192.168.1.254/xslt-page=%[&@!+;:-~*--()^$#-_...]

La conexión DSL de algunos modelos de routers de la marca 2wire se ve afectada cuando se realiza una petición al parámetro page de la página /xslt con el valor %X donde X puede ser cualquier carácter no alfanumérico. La mecánica es sencilla, sólo se debe ingresar a la interfaz web del router y, sin tener autenticación alguna, realizar la petición. Las versiones de firmware vulnerables y confirmadas por el UNAM-CERT son 4.25.19, 5.29.51 y 5.29.52, sin embargo las versiones 3.17.5 y 3.7.1 podrían verse también afectadas.

Ejemplo de introducción de valor al parámetro.

Finalmente se observa la pérdida de la conexión DSL del router con el proveedor de servicio. Sin embargo, esta falta de conectividad se observa por un periodo no superior a los 5 minutos y después, automáticamente, se restablece el servicio sin problema alguno.Ahora bien, si el parámetro es ingresado reiteradamente se podría provocar que el dispositivo reinicie por completo.

A continuación se ejemplifica el proceso de explotación de la vulnerabilidad, el cual se desarrolló utilizando el modelo 2701 HG-T con la versión de firmware 5.29.52.0. :

Por medio cualquier explorador de internet (Internet Explorer, Mozilla Firefox, Opera, etc.), se debe abrir el portal web del dispositivo. Es importante mencionar que este proceso no requiere de autenticación por parte del usuario.


Escribir en el navegador la url maliciosa. Por ejemplo:

Una vez realizado lo anterior, podría aparecer alguna de la siguiente pantalla indicando que la vulnerabilidad ha sido explotada exitosamente.


Sin embargo si se continúa enviando la solicitud maliciosa de manera insistente, el router se reiniciará obteniendo una pantalla como la siguiente:

Resultados

Finalizada la prueba de concepto se pudo observar lo siguiente:

  • En ocasiones se provoca la conexión DSL se pierda.
  • Si el envío malintencionado es reiterado se puede provocar el reinicio del dispositivo
  • En ambos casos la conexión DSL se reestablece permitiendo a los usuarios continuar con su servicio de Internet.

Sin embargo, aunque no se trate de una vulnerabilidad que comprometa la integridad y la confidencialidad de la cuenta del administrador, esposible que cualquier usuario dentro de la red local pueda explotarla, ocasionando una momentánea pérdida del servicio.

Solución

Hasta el momento no existe ningún parche o solución temporal para dicha vulnerabilidad debido a las condiciones en las que sucede. Además de que 2Wire no libera actualizaciones instalables para estos productos.

Por otro lado, es posible disminuir el riesgo limitando la administración del router, por ejemplo a través de un firewall que sólo permita a un equipo confiable establecer conexiones de puerto 80 al router. Otra recomendación es el no habilitar la administración remota del dispositivo y finalmente, no ejecutar archivos de remitentes desconocidos o bien que parezcan peligrosos al contener algún malware.

Referencias

  • Milw0rm
    Milw0rm.com, Exploit : 7060, http://www.milw0rm.com/exploits/7060
    Fecha de publicación: 8 de noviembre de 2008
  • Secunia
    2Wire Routers Denial of Service Vulnerability, SA32631. http://secunia.com/advisories/32631
    Fecha de publicación: 12 de noviembre de 2008

     

Revisión histórica

  • Liberación original: Martes, 18 Noviembre 2008
  • Última revisión: Jueves, 16 Junio 2011

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:

  • Oscar Raúl Ortega Pacheco
    Jorge Christian Durán Lara
    Eduardo Espina García

Para mayor información acerca de este documento contactar a:

UNAM-CERT: Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
Dirección General de Cómputo y Tecnologías de Información y Comunicación
Universidad Nacional Autónoma de México
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT