Xakep #305. Многошаговые SQL-инъекции
Специалисты компании Pen Test Partners протестировали несколько 4G-марштуризаторов разных производителей, включая ZTE, Netgear и TP-LINK, и пришли к выводу, что безопасность таких устройств оставляет желать лучшего. Результатами своих изысканий специалисты поделились на конференции DEFCON, прошедшей в Лас-Вегасе.
Исследователи отмечают, что обнаружили критические проблемы, даже не прилагая больших усилий к изучению роутеров из разных ценовых сегментов (от потребительских маршрутизаторов, до дорогих устройств, предназначенных для использования в крупных корпоративных сетях). Обо всех обнаруженных недостатках эксперты сообщили производителям, и большинство из них были устранены еще до публикации отчета Pen Test Partners. Но, к сожалению, процесс раскрытия и исправления багов прошел не так гладко, как мог бы.
К примеру, разработчики компании ZTE практически отмахнулись от уязвимостей в своем оборудовании (проблемы были выявлены в роутерах MF910 и MF65+), поскольку те затрагивали продукты с истекшим сроком поддержки. Хотя модель MF910 числилась на сайте производителя и не была отмечена, как «устаревшая».
Впоследствии исследователи протестировали другой маршрутизатор ZTE, MF920, который имел ту же кодовую базу и, как следствие, содержал практически те же уязвимости. На этот раз представители ZTE решили исправить обнаруженные баги, которым, наконец, присвоили идентификаторы CVE.
В маршрутизаторах MF910 и MF65 были обнаружены следующие уязвимости, которые производитель не исправит:
- пароль администратора может «утечь» (преаутентификация);
- один из дебаг-эндпоинтов (после аутентификации) уязвим для инъекций команд;
- XSS-баг на неиспользуемой «тестовой» странице.
Исследователи предупреждают, что эти проблемы можно объединить в цепочку, что может привести к исполнению произвольного кода на устройстве. Подробный разбор проблем MF910 доступен здесь.
Уязвимости, обнаруженные в MF920, получили следующие CVE-идентификаторы: CVE-2019-3411 (утечка информации) и CVE-2019-3412 (выполнение произвольных команд). Бюллетень безопасности ZTE доступен здесь.
Также проблемы безопасности были выявлены в маршрутизаторах производства Netgear и TP-LINK, и по крайней мере четырем из них присвоили идентификаторы CVE.
Так, маршрутизатор Netgear Nighthawk M1 уязвим перед обходом CSRF (CVE-2019-14526) и внедрением команд после аутентификации (CVE-2019-14527). Эти проблемы могут использоваться для исполнения произвольного кода на уязвимом устройстве, если «пользователь не установил надежный пароль».
Беспроводной маршрутизатор TP-LINK M7350 4G LTE тоже был признан уязвимым перед двумя багами: выполнением команд до аутентификации (CVE-2019-12103) и выполнением команд после аутентификации (CVE-2019-12104).
«Все больше потребителей с минимальными требованиями к полосе пропускания будут использовать сотовую связь доступа к интернету. Те производители, которые собираются продавать маршрутизаторы 5G, в настоящее время продают маршрутизаторы 3G и 4G, которые, как мы не устаем повторять, в основном весьма плохи», — заключают эксперты.