Nasze sukcesy
W poszukiwaniu słabości
Podatności, które udało nam się wykryć w urządzeniach i oprogramowaniu uznanych producentów, są sukcesami Polski i Polaków.
Nasze zgłoszenia do międzynarodowej bazy Common Vulnerabilities and Exposures (CVE)
W wybranych modelach TOTOLINK opartych o Realtek SDK tekst CAPTCHA można pobrać za pomocą metody POST {„topicurl”: „setting / getSanvas”} POST do identyfikatora URI boafrm / formLogin, co prowadzi do obejścia CAPTCHA.
Tekst CAPTCHA również nie jest potrzebny, gdy atakujący określi prawidłowe poświadczenia. Atakujący może podejmować działania routera za pośrednictwem HTTP z podstawowym uwierzytelnianiem. (basic authentication)).
Dotyczy to A3002RU do 2.0.0, A702R do 2.1.3, N301RT do 2.1.6 , N302R do 3.4.0, N300RT do 3.4.0, N200RE do 4.0.0, N150RT do 3.4.0 i N100RE do 3.4.0.
Dotyczy | Szczegóły |
|---|---|
CVSS v3.1 | 9.8 |
Attack Vector: | Network |
Attack Complexity: | Low |
Privileges Required: | None |
User Interaction: | None |
Scope: | Unchanged |
Confidentiality: | Critical |
Integrity: | None |
Availability: | None |
Na wybranych routerach TOTOLINK opartych o Realtek SDK uwierzytelniony atakujący może wykonywać dowolne polecenia systemu operacyjnego poprzez parametr sysCmd do identyfikatora URI boafrm / formSysCmd, nawet jeśli GUI (syscmd.htm) nie jest dostępne.
Luka umożliwia przejęcie pełnej kontroli nad urządzeniem.
Podatność dotyczy A3002RU do 2.0.0, A702R do 2.1.3, N301RT do 2.1.6, N302R do 3.4.0, N300RT do 3.4.0, N200RE do 4.0.0, N150RT do 3.4.0 i N100RE do 3.4.0 .
Dotyczy | Szczegóły |
|---|---|
CVSS v3.1 | 8.8 |
Attack Vector: | Network |
Attack Complexity: | Low |
Privileges Required: | None |
User Interaction: | None |
Scope: | Unchanged |
Confidentiality: | High |
Integrity: | None |
Availability: | None |
Wykryliśmy lukę w routerach opartych o Realtek SDK (w tym Realtek APMIB 0.11f i serwer Boa HTTP 0.94.14rc21) przechowują hasła w postaci zwykłego tekstu (niezaszyfrowane).
Dane przechowywane w pamięci w formacie COMPCS (biblioteka apmib) zawierają hasła do administracji routerem i inne hasła w postaci zwykłego tekstu. Biblioteka apmib w momencie inicjalizacji zrzuca całą zawartość pamięci do pliku /web/config.dat, który może zostać pobrany wraz z niezaszyfrowanymi hasłami użytkowników.
Dotyczy | Szczegóły |
|---|---|
CVSS v3.1 | 7.5 |
Attack Vector: | Network |
Attack Complexity: | Low |
Privileges Required: | None |
User Interaction: | None |
Scope: | Unchanged |
Confidentiality: | High |
Integrity: | None |
Availability: | None |
Wykryliśmy lukę w routerach opartych o Realtek SDK, które wykorzystują uwierzytelnianie podstawowe oparte o formularz HTTP Basic (który obejmuje również Realtek APMIB 0.11f i serwer Boa HTTP 0.94.14rc21), umożliwia zdalnym atakującym pobranie konfiguracji, w tym poufnych danych w postaci nazwy użytkownika i hasła.
Biblioteka apmib w momencie inicjalizacji zrzuca całą zawartość pamięci do pliku /web/config.dat. Ten folder jest wykorzystywany przez serwer http boa jako katalog dla indeksacji. Jeżeli router jest skonfigurowany do uwierzytelniania opartego na formularzu, kontrola dostępu weryfikuje dostęp tylko dla niektórych adresów URL, ale pliki z rozszerzeniem „.dat” nie są weryfikowane.
Dotyczy | Szczegóły |
|---|---|
CVSS v3.1 | 7.5 |
Attack Vector: | Network |
Attack Complexity: | Low |
Privileges Required: | None |
User Interaction: | None |
Scope: | Unchanged |
Confidentiality: | High |
Integrity: | None |
Availability: | None |
Wykryliśmy lukę polegającą na przechodzeniu poprzez katalogi (directory traversal) poprzez interfejs webowy w D-Link DWR-116 do 1.06, DIR-140L do 1.02, DIR-640L do 1.02, DWR-512 do 2.02, DWR-712 do 2.02, DWR-912 do 2.02, DWR-921 do wersji 2.02 i DWR-111 do wersji 1.01
Luka umożliwia zdalnym atakującym odczytanie dowolnych plików za pomocą /.. lub // after „GET /uir” w żądaniu HTTP. UWAGA: ta luka istnieje z powodu źle działającej poprawki zgłoszonej w CVE-2017-6190.
Dotyczy | Szczegóły |
|---|---|
CVSS v3 | 7.5 |
Attack Vector: | Network |
Attack Complexity: | Low |
Privileges Required: | None |
User Interaction: | None |
Scope: | Unchanged |
Confidentiality: | High |
Integrity: | None |
Availability: | None |
Wykryliśmy podatność w routerach D-Link DWR-116 do 1.06, DIR-140L do 1.02, DIR-640L do 1.02, DWR-512 do 2.02, DWR-712 do 2.02, DWR-912 do 2.02, DWR-921 do 2.02 oraz DWR-111 do 1.01.
Hasło administracyjne jest przechowywane w postaci zwykłego tekstu w pliku /tmp/csman/0. Atakujący wykorzystując błąd CVE-2018-10822 jest w stanie pobrać ten plik bez uwierzytelnienia przy pomocy ataku Directory Traversal lub LFI i tym samym uzyskać pełny dostęp do urządzenia.
Dotyczy | Szczegóły |
|---|---|
CVSS v3 | 9.8 |
Attack Vector: | Network |
Attack Complexity: | Low |
Privileges Required: | None |
User Interaction: | None |
Scope: | Unchanged |
Confidentiality: | High |
Integrity: | High |
Availability: | High |
Dotyczy | Szczegóły |
|---|---|
CVSS v3 | 8.8 |
Attack Vector: | Network |
Attack Complexity: | Low |
Privileges Required: | Low |
User Interaction: | None |
Scope: | Unchanged |
Confidentiality: | High |
Integrity: | High |
Availability: | High |
Wykryliśmy podatność polegającą na stosowaniu wysoce przewidywalnych tokenów sesyjny na serwerze HTTPd we wszystkich wersjach <= 3.0.0.4.380.7743 routerów ASUS asuswrt
Podatność umożliwia uzyskanie dostępu do interfejsu administracyjnego routera, w momencie niedawnego logowania administratora oraz ominięciu weryfikacji IP logowania do urządzenia (CVE-2017-15653).
Stosując funkcjonalności routera, można bez uwierzytelnienia odpytywać urządzenie o zalogowanych użytkowników, dzięki czemu proces pozyskania tokenu można zautomatyzować.
Dotyczy | Szczegóły |
|---|---|
CVSS v3 | 8.3 |
Attack Vector: | Network |
Attack Complexity: | High |
Privileges Required: | None |
User Interaction: | Required |
Scope: | Changed |
Confidentiality: | High |
Integrity: | High |
Availability: | High |
Wykryliśmy podatność polegającą na błędnym sprawdzeniu poprawności adresu IP z którego można zalogować się na urządzenie na serwerze HTTPd we wszystkich wersjach <= 3.0.0.4.380.7743 ASUS asuswrt.
Znając token sesyjny (zdobyty np. przy pomocy CVE-2017-15654), atakujący jest w stanie ominąć blokadę adresu IP z którego można logować się na urządzenie, poprzez wysłanie specyficznej wartości w nagłówku ‚User-Agent’.
Dotyczy | Szczegóły |
|---|---|
CVSS v3 | 8.8 |
Attack Vector: | Network |
Attack Complexity: | Low |
Privileges Required: | Low |
User Interaction: | Required |
Scope: | Unchanged |
Confidentiality: | High |
Integrity: | High |
Availability: | High |
Wykryliśmy podatność polegającą na przechowywaniu hasła administratora w postaci zwykłego tekstu w nvram na serwerze HTTPd we wszystkich wersjach <= 3.0.0.4.380.7743 ASUSa asuswrt.
Łącząc błędy CVE-2017-15654 oraz CVE-2017-15653, atakujący jest w stanie uzyskać hasło administratora i móc zalogować się do urządzenia, jedynie znając przybliżoną porę zalogowania administratora.
Dotyczy | Szczegóły |
|---|---|
CVSS v3 | 8.8 |
Attack Vector: | Network |
Attack Complexity: | Low |
Privileges Required: | Low |
User Interaction: | None |
Scope: | Unchanged |
Confidentiality: | High |
Integrity: | High |
Availability: | High |
Na serwerze ASUS HTTPd w wersji asuswrt <= 3.0.0.4.376.X występuje wiele luk w zabezpieczeniach związanych z przepełnieniem buforu.
Wszystkie zostały naprawione w wersji 3.0.0.4.378, ale niniejsza luka nie została wcześniej odkryta. Niektóre routery wycofane z eksploatacji mają wersję 3.0.0.4.376.X i dlatego są obecnie podatne na ataki. Ta luka umożliwia zdalne uruchomienie kodu (RCE = Remote Code Execution) z uprawnieniami administratora, gdy administrator odwiedzi wybrane strony na routerze, po wcześniejszym przepełnieniu sterty na routerze przez atakującego.
Dotyczy | Szczegóły |
|---|---|
CVSS v3 | 9.6 |
Attack Vector: | Network |
Attack Complexity: | Low |
Privileges Required: | None |
User Interaction: | Required |
Scope: | Changed |
Confidentiality: | High |
Integrity: | High |
Availability: | High |
ManageEngine Password Manager Pro (PMP) posiada lukę SQL Injection w AdvanceSearch.class w AdventNetPassTrix.jar w wersji starszej niż 8.1 Build 8101.
Odkryta przez nas luka umożliwia zdalnym, uwierzytelnionym użytkownikom wykonywanie dowolnych poleceń SQL za pomocą parametru ANDOR, uzyskując tym samym dostęp do haseł innych użytkowników przechowywanych w systemie.
Dotyczy | Szczegóły |
|---|---|
CVSS v3 | 9.9 |
Attack Vector: | Network |
Attack Complexity: | Low |
Privileges Required: | None |
User Interaction: | Required |
Scope: | Changed |
Confidentiality: | High |
Integrity: | High |
Availability: | High |