D-Link DIR-X4860 yönlendiricilerinde, HNAP bağlantı noktası ve uzaktan kod yürütme nedeniyle Kimlik Doğrulamanın atlanmasıyla ilişkilendirilen iki kritik güvenlik açığı keşfedildi.
Üstelik bu güvenlik açıklarından birlikte yararlanılması, güvenlik açığı bulunan cihazın tamamen tehlikeye girmesine yol açabilir.
Ancak bu güvenlik açığını satıcıya bildirdikten sonra bile onlardan herhangi bir güncelleme veya yanıt gelmediği görülüyor.
Araştırmacılar, son 30 gün içinde herhangi bir yanıt alınamaması nedeniyle bu güvenlik açığını kamuya açıkladılar.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Yanlış Uygulama Nedeniyle Kimlik Doğrulamanın Atlanması
Bu kusur, kimlik doğrulama algoritmalarının düzgün şekilde uygulanmadığı HNAP oturum açma isteklerinin işlenmesinden kaynaklanmaktadır.
Bu kusurun başarılı bir şekilde kullanılması, ayrıcalıkların artmasına neden olur ve ayrıca yönlendiricinin bağlamı altında kod yürütmeye erişim sağlar.
.webp)
Bu kusur hakkında daha fazla ayrıntı sağlamak için, yönlendiriciye yapılan oturum açma isteği, kullanıcı adı ve parolanın gömülü olduğu bir XML isteği içeren HNAP protokolünü kullanır.
Bu oturum açma isteğine verilen yanıt üç ana parametre içerir: Challenge, Cookie ve PublicKey.
.webp)
Cookie başlığı sonraki tüm istekler için kullanılırken Challenge ve PublicKey başlıkları şifreyi şifrelemek ve HTTP başlığında bir HNAP_AUTH kimlik doğrulaması oluşturmak için kullanılır.
Ancak XML isteğindeki kullanıcı adı ve şifre parametreleri “Admin” olarak değiştirilirse “Admin” değerinden PublicKey oluşturulur.
Bu, oturum açma isteği sırasında bir tehdit aktörünün kullanıcı adı ve şifre olarak “Yönetici”yi kullanabileceği ve bu da tehdit aktörünün kimlik doğrulamayı atlamasına olanak tanıyacağı anlamına gelir.
Bu kusur, oturum açma isteğini bir işlevle işleyen /bin/prog.cgi dosyasından kaynaklanmaktadır.
Daha fazla ayrıntı eklemek için, başarılı kimlik doğrulama için Başarılı ve başarısız kimlik doğrulama için başarısız olarak yanıt veren bir LoginResult XML parametresi vardır.
YerelIPAdresi Komut Ekleme
Bu kusur, lighttpd web sunucusuna yapılan HNAP isteklerini işleyen aynı prog.cgi’de mevcuttur.
Bu web sunucusu 80 ve 443 numaralı bağlantı noktalarını dinliyor. Üstelik bu kusur, kullanıcı tarafından sağlanan bir dizenin, bir sistem çağrısını yürütmek için kullanılmadan önce doğrulanmamasından kaynaklanıyor.
Ayrıca, bu güvenlik açığından başarıyla yararlanılması, kodun “kök” bağlamında çalıştırılmasına neden olur.
/bin/ dizininde bulunan prog.cgi dosyası SetVirtualServerSettings’i işleyen bir işlev içerir.
LocalIPAddress parametresi, FCGI_popen işlevini çağırmak için kullanıcı tarafından sağlanan bir girişi kullanır.
.webp)
.webp)
.webp)
Saldırgan, kötü amaçlı girdi sağlayarak FCGI_popen işlevini çağırabilir ve kötü amaçlı komutları çalıştırabilir.
Ayrıca, SSD araştırmacıları tarafından ayrıntılı bilgi sağlayan bir kavram kanıtı yayınlandı.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free