27 de abril de 2024

Milhões de roteadores Arris são vulneráveis ​​a ataques de passagem de caminho

2 de agosto de 2022

O pesquisador de segurança Derek Abdine publicou um aviso sobre vulnerabilidades que existem no servidor web muhttpd licenciado pelo MIT.

Publicado:1º de agosto de 2022por Pieter Artz

Servidor web está presente no firmware Arris que pode ser encontrado em vários modelos de roteadores.

servidor web muhttpd

muhttpd (mu HTTP deamon) é um servidor web simples, mas completo, escrito em ANSI C portátil. Ele tem três objetivos principais: ser simples, ser portátil e ser seguro. A simplicidade era o principal objetivo do muhttpd, mas devido à sua simplicidade e amplo uso, também deve priorizar a segurança.

O equipamento nas instalações do cliente (CPE) do ISP geralmente usa esse servidor da Web, e os assinantes do ISP normalmente obtêm esses roteadores em empréstimo para telefonia e acesso à Internet.

Travessia do caminho

Um ataque de passagem de caminho visa acessar arquivos e diretórios armazenados fora da pasta raiz da web. Esses ataques às vezes são chamados de ataques ponto-ponto-barra, pois manipulam variáveis ​​que fazem referência a arquivos com sequências “ponto-ponto-barra (../)” e variações delas para acessar arquivos e diretórios arbitrários.

O servidor muhttpd 1.1.5 (última versão oficial 2010) tem uma vulnerabilidade de passagem de caminho. A versão mais recente do muhttpd é a versão 1.1.7 (lançada em 1º de junho de 2022). Infelizmente, o firmware Arris é baseado na versão vulnerável do muhttpd.

Vulnerabilidades

As falhas de segurança de computador divulgadas publicamente são listadas no banco de dados Common Vulnerabilities and Exposures (CVE). Seu objetivo é facilitar o compartilhamento de dados entre recursos de vulnerabilidade separados (ferramentas, bancos de dados e serviços). Derek Abdine encontrou várias vulnerabilidades, uma das quais é:

CVE-2022-31793 : Percurso de caminho da raiz do sistema de arquivos. A simples adição de um único caractere que não seja um ponto (“.”), barra (“/”) ou ponto de interrogação (“?”) antes do caminho solicitado é suficiente para obter qualquer arquivo regular no dispositivo. Essa vulnerabilidade permite que um invasor remoto não autenticado (nos casos em que a administração remota esteja habilitada) ou qualquer parte local (LAN) obtenha:

  • O conteúdo das senhas md5crypt (salted/hashed) em /etc/passwd .
  • O SSID e a senha de texto simples das redes Wi-Fi 2G e 5G transmitidas pelo dispositivo.
  • Os nomes de usuário e senhas (às vezes criptografadas) de todas as contas de administração no sistema.
  • Informações de configuração, incluindo o protocolo TR-069 em uso por um provedor de serviços de Internet (ISP).
  • Nomes de usuário (números de telefone) e senhas do Session Initiation Protocol (SIP), incluindo URLs de endpoint SIP.
  • Informações de configuração de encaminhamento de porta.
  • Outras informações de rede confidenciais, como conexões TCP estabelecidas.
  • Vários logs de sistema e firewall.
  • Uma lista completa do endereço IP da LAN, nome do host, MAC, tempo de atividade e características do dispositivo, como o sistema operacional e os aplicativos conhecidos de cada dispositivo na LAN.
  • O número de série do roteador.
  • O certificado e a chave privada para o portal de gerenciamento da web.
  • Informações do processo do roteador.

Outras vulnerabilidades

O pesquisador encontrou mais duas vulnerabilidades que não são tão fáceis de explorar:

Desreferência de ponteiro NULL : O servidor muhttpd recebe solicitações HTTP em um soquete sem bloqueio. Conexões de soquete são aceitas e alimentadas a um processo bifurcado para execução. Quando os dados são recebidos, o servidor lê em um loop até que uma sequência de dois caracteres de retorno de carro/nova linha seja recebida. O processamento é então transferido para outro método que tenta analisar o método de solicitação. Injetar um byte NULL no vapor de solicitação fará com que o processo de solicitação (fork do processo do servidor) seja segfault. Uma falha de segmentação (também conhecida como segfault) é uma condição comum que faz com que os programas travem.

Buffer over-read ao defanging URLs: O servidor muhttpd contém um buffer over-read ao lidar com valores codificados por porcentagem. Ao encontrar um percentual “%” na URL, o servidor tenta decodificar os próximos dois caracteres sem verificar os limites. Como resultado, se o URL consistir em “%” sem caracteres a seguir, a função decode_url lerá os dados do URL e as partes do buffer de solicitação que contém a string de versão do protocolo HTTP. Embora não seja explorável na prática, devem ser feitas salvaguardas para evitar o acesso ao espaço de endereço não intencional.

Dispositivos afetados

O servidor muhttpd afetado é usado em produtos de roteador Arris (NVG) baseados em fibra e DSL, bem como em produtos whitelabel/OEM de outros fornecedores. Os provedores de serviços de Internet (ISPs) em todo o mundo normalmente emprestam esses roteadores para seus milhões coletivos de assinantes. Em 2017, por exemplo, especialistas descobriram falhas facilmente exploráveis ​​em modems Arris distribuídos pela AT&T .

Os modelos de roteador Arris que foram considerados vulneráveis ​​são NVG443, NVG599, NVG589, NVG510, bem como variantes personalizadas para ISP, como BGW210 e BGW320. Observe que os roteadores Arris SBR-AC1900P 1.0.7-B05, SBR-AC3200P 1.0.7-B05 e SBR-AC1200P 1.0.5-B05 são vulneráveis ​​a outra vulnerabilidade listada como CVE-2022-26992, que permite que invasores executem comandos por meio de uma solicitação criada.

Pesquisas na Internet revelaram 19.000 roteadores vulneráveis ​​conectados diretamente à Internet. Os proprietários foram informados e a maioria dos dispositivos já foram corrigidos. Tanto o Arris quanto o muhttpd emitiram versões corrigidas, mas como o firmware é difundido e cada ISP gerencia suas próprias atualizações de firmware de forma independente, é provável que esse problema persista por anos.

Mitigação

No momento, não há relatos de que essas vulnerabilidades sejam usadas em estado selvagem, mas agora que as vulnerabilidades são conhecidas e o código de prova de conceito está disponível, pode ser apenas uma questão de tempo até que um ataque seja realizado.

Se o seu roteador usa uma versão vulnerável do muhttpd, é aconselhável desabilitar a administração remota, pois isso limita a exploração das vulnerabilidades aos ataques de LAN. Além disso, obtenha uma versão corrigida o mais rápido possível ou substitua o dispositivo.

Fonte: https://blog.malwarebytes.com/

Matérias Relacionadas

Comentários do GitHub são usados ​​para enviar malware por meio de repositório da Microsoft

23 de abril de 2024

Malware Androxgh0st compromete servidores em todo o mundo por ataque de botnet

23 de abril de 2024

Ex-engenheiro de segurança condenado a 3 anos de prisão por roubo de criptomoedas no valor de US$ 12,3 milhões

15 de abril de 2024

Veja mais..

Na teia obscura, segredos médicos à venda

26 de abril de 2024

Criminosos colocam a venda bilhões de mensagens privadas de usuários do Discord

24 de abril de 2024

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Siemens está trabalhando na correção de dispositivos afetados por bug do Firewall de Palo Alto

24 de abril de 2024

Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache

23 de abril de 2024