Desde el blog Sekurak.pl, el investigador Michal Sajdak alerta de la
posibilidad de ejecutar código de manera remota en diversos modelos de
router de la firma TP-Link. Existe una puerta trasera accesible
mediante el servicio TFTP hasta ahora no documentada. Afecta por el
momento los modelos TL-WDR4300, TL-WR743ND y TL-WR740N.
La vulnerabilidad se debería a una funcionalidad presente en el
firmware del router que contacta de manera remota con un servidor TFTP
cuando se realiza una determinada petición de recurso.
Según la investigación llevada a cabo, si se realiza una petición http
GET a la URL:
http:// IP del router /userRpmNatDebugRpm26525557/start_art.html
...automáticamente el router realiza una conexión a la IP de origen de
la petición buscando un servidor TFTP del que descarga un fichero de
configuración con nombre "nart.out". Este será ejecutado con permisos
de usuario root en el propio router.
http://3.bp.blogspot.com/-FMc7_qWHM28/UVCjddcwDxI/AAAAAAAACZA/F1akBa2veko/s1600/tftp.jpg
Aparte de no estar documentada, supone un grave fallo en las políticas
de seguridad del router, que permite la ejecución de código remoto
mediante servidores TFTP fraudulentos. Un atacante podría crear un
fichero nart.out especialmente manipulado, subirlo a un servidor TFTP y
realizar la petición HTTP al router.
Esta vulnerabilidad en principio sólo es accesible desde red local a
menos que se tuviera activada la gestión remota desde el exterior
(HTTP-admin via WAN).
Este tipo de servicios de actualización parecen habituales en otros
fabricantes. Según la documentación de la firma Atheros (chipset
presente en estos modelos de router) se ofrecen ese tipo de servicios
destinados a la actualización de las placas utilizando servidores TFTP
para el proceso. Por ejemplo, en uno de los documentos filtrados
(disponible en algunos servidores no oficiales) se puede leer:
- ---8<----
Chapter 6 Load the ART Image
This procedure is used to load the ART image in the DB120 board. Due to
limited flash memory space on the DB120, it is recommended to load the
ART image in the RAM. It is assumed that the files art.ko and nart.out
are located on a suitable TFTP server, and the IP address of the TFTP
server is 192.168.1.100.
1. Apply power to the board.
2. Wait until Kernel is loaded and executed.
3. Log in using the root username and 5up password.
4. Type these commands:
# mknod /dev/dk0 c 63 0 # cd /tmp # tftp -r art.ko -g 192.168.1.100 #
insmod art.ko # tftp -r nart.out -g 192.168.1.100 # chmod +x nart.out #
./nart.out –console
The ART client is now running and waiting for connection from host.
- ---8<---
Los usuarios pueden comprobar si este servicio está presente,
realizando una consulta a la URL comentada y confirmando que en el
navegador aparezca el mensaje "Art successfully started":
http://3.bp.blogspot.com/-kPTnnH64Kks/UVCjnlUiEoI/AAAAAAAACZI/2cGm_9HWiCg/s1600/art_active.png
TP-Link está avisado de la vulnerabilidad pero todavía no hay
actualizaciones oficiales disponibles. Como alternativa es posible
instalar firmwares libres como OpenWRT:
http://wiki.openwrt.org/toh/start#tp-link3
Usuarios de diversos foros han advertido que esta funcionalidad y
posiblemente la vulnerabilidad también está presente en los modelos:
WR743ND,WR842ND, WA-901ND, WR941N, WR941ND, WR1043ND, WR2543ND, MR3220,
MR3020, WR841N
Más información:
===============
http://sekurak.pl/tp-link-httptftp-backdoor/
http://sekurak.pl/nowy-backdoor-na-urzadzeniach-tp-link/
http://sekurak.pl/more-information-about-tp-link-backdoor/
Fuente:
======
http://unaaldia.hispasec.com/2013/03/ejecucion-remota-de-codigo-en-diversos.html