wie man zu einem Advisory bei Fulldisclosure kommt

Eigentlich wollte ich nur mal meinen langjährigen, treuen Freund den Netgear DSLRouter RP614v3 einen kleinen Besuch per CURL abstatten, weil in seinem Bekanntenkreis eine Sicherheitslücke gefunden wurde. Die Lücke im N300 FW Router von Netgear konnte ich zwar nicht finden, aber dafür fiel mir was komisches auf.  Wenn ich „curl -i “ benutzte, statt „curl -I“ ( großes i ), bekam ich von meinem Router eine Webseite angezeigt, statt einer 403 Umleitung auf die Loginseite, und dies, obwohl ich per Konsole gar nicht angemeldet war.

Eigentlich sollte „curl -i“ die ganzen Headerinformationen der HTTP Antwort mit ausgeben, aber irgendwas war noch anders. Etwas, das den Router verwirrte. Nach einigen Analysen kam ich dann drauf, curl sendet bei -I einen HEAD Request, vor dem eigentlich GET, und dieser wurde korrekt umgeleitet auf die Loginseite.

# curl -I "http://192.168.1.1/contents1.html"
HTTP/1.0 403 Forbidden

„curl -i“ machte das komischerweise nicht, es sendete gleich den GET Request aus.

# curl -i "http://192.168.1.1/contents1.html"
HTTP/1.0 200 OK
Server: Embedded HTTPD v1.00, 1999(c) Delta Networks Inc.
Content-length: 7158
Accept-ranges: bytes
Content-type: text/html

Ein Exploit war gefunden.

Es stellte sich die Fragen, was kann man damit alles machen  und viel wichtiger, hatte den Exploit schon wer anders gefunden ?

Die erste Frage war leicht zu beantworten: Alles 🙂 Die gesamte Sicherheit des Browserinterfaces lag darin begründet, daß Browser immer ein HEAD vorrausschicken und dann erst ein GET, wenn die Seite nicht mehr aus dem Cache kommen sollte.

Sendete man das GET gleich, kommt man an alle Infos, Formular usw. direkt dran.

Type : Authentication Bypass

Genau so einen Bug hatte auch der N300 FW von Netgear, nur war der Bypass dort anders geartet. Dort hatte die Anwendung ein Loch, hier die Implementierung im Embedded httpd.

Um es kurz zu machen, wer einen RP614v3 egal welcher Firmware im Netz hat, muß damit leben, daß der Router nicht mehr unter der alleinigen Kontrolle des Besitzers ist. Dazu kommt noch ein schöner ROOT Exploit in der Telnetsession, den aber vor Jahren schon jemand anders dokumentiert hatte.

Fulldisclosure

Im Oktober 2015 habe ich Netgear über die Schwachstelle informiert. Keine Reaktion. Wie andere Securityresearcher auch schon erleiden mußten, ist Netgear wenig sensibel für Kontaktaufnahmen, was meint, sie geben sich nicht die größte Mühe erreichbar zu sein. Normalerweise sind deren Produkte sicher genug, daß sie keiner erreichen muß, aber wenn, ist das eine Odysee . Die habe ich mir nicht gegeben. Es war ohnehin extrem fraglich, ob es dafür einen Fix geben würde, da das Produkt schon weiter über 10 Jahre alt war.

Gestern ging die Nachricht dann an die Liste raus. Wer es nachlesen will : http://seclists.org/fulldisclosure/2016/Feb/35

Kleiner Teaser: Im März läuft der nächste FD Timer aus und zu dem gibts eine schöne Story und ein bisschen Backgroundinfos.