Zdalny 0-day na routery Linksysa.

Pierwotna informacja pojawiła się jakiś czas temu (dokładnie 9 stycznia), wczoraj widziałem wpis pochodny ale widzę, że żaden polski serwis newsowy nie kwapi się z publikacją, więc warto rozpropagować/ostrzec, tym bardziej, że exploit dotyczy potencjalnie 70 mln urządzeń na całym świecie, w tym dość popularnych WRT54GL i okolic. I – jak to 0-day – także najnowszego firmware’u. Co prawda piszą, że działa na 4.30.14, a najnowsza wersja to 4.30.15, ale data wydania wskazuje, że to firmware z 2011 roku.

Dokładne szczegóły nie są znane, działanie exploita można zobaczyć na filmie (poniżej). Na pewno, jak widać na filmie, działa z poziomu sieci lokalnej. Być może działa także zdalnie, ale zapewne warunkiem będzie włączone logowanie do routera po WAN. Szczegóły mają być zamieszczone w ciągu tygodnia na stronie firmy, która błąd znalazła.

Rozwiązania od producenta, czyli Cisco na ten moment nie ma. Dla wielu routerów można wgrać alternatywne oprogramowanie, czyli DD-WRT, OpenWrt lub Tomato, co wg mojej wiedzy rozwiązuje problem. Tak się zastanawiam, czy to nie pochodna błędu w DD-WRT o którym kiedyś pisałem. Wygląda podobnie.

UPDATE: Wygląda, że błąd w routerach Linksys został poprawiony.

Masz DD-WRT? Masz problem.

A raczej, możesz mieć problem, jeśli skonfigurowałeś router tak, by serwer WWW (zarządzania przez WWW) słuchał na zewnętrznym interfejsie. Jakiego typu problem? Zdalne wykonanie kodu z prawami roota. Bez konieczności jakiegokolwiek uwierzytelniania.

Niestety, nawet ci, którzy skonfigurowali swój router tak, by serwer WWW nie słuchał na zewnętrznym interfejsie nie mogą spać spokojnie. Powodem jest niezałatana możliwość ataku przez CSRF.

Co robić? Jeśli nie chcemy/możemy zmienić softu na Tomato czy OpenWrt – co byłoby najlepszym rozwiązaniem, bo brak doniesień o podobnych problemach w tych firmware’ach – to na pewno wyłączyć zarządzanie przez WWW na zewnętrznym interfejsie i unikać podejrzanych stron (mogących być źródłem ataku CSRF). Przynajmniej do czasu opublikowania poprawionej wersji firmware’u przez DD-WRT. Jeśli to możliwe, należy wyłączyć serwer WWW całkowicie, wtedy i CSRF nie będzie groźny.

Źródło: DD-WRT (httpd service) Remote Command Execution Vulnerability

UPDATE: Jeszcze link do wątku na forum DD-WRT nt. tej luki oraz link do poprawionego firmware’u.