| Издательский дом ООО "Гейм Лэнд" | СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #59, ОКТЯБРЬ 2005 г. |
Майские жуки
Eto'o
Спецвыпуск: Хакер, номер #059, стр. 059-024-3
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00 00 00 00 00 60 1d 20 2e 38 00 00 18 19 10 f8 | .....`. .8......
4f 52 69 4e 4f 43 4f 20 52 47 2d 31 31 30 30 20 | ORiNOCO RG-1100
30 33 39 32 61 30 00 00 00 00 00 00 00 00 00 00 | 0392a0..........
02 8f 24 02 52 47 2d 31 31 30 30 20 56 33 2e 38 | ..$.RG-1100 V3.8
33 20 53 4e 2d 30 32 55 54 30 38 32 33 32 33 34 | 3 SN-02UT0823234
32 20 56 00 | 2 V.
Здесь параметр Community name, необходимый для дальнейшей аутентификации, равен 0392a0. Далее уже не составит особого труда написать несложный эксплойт для устройства, например на Perl. Для этого языка существует масса модулей, которые сделают работу с протоколом удобнее. За примером далеко ходить не нужно: Net::SNMP - идеальный вариант.
DoS и неавторизованный доступ
- Уязвимые устройства - Siemens SANTIS 50, Ericsson HN294dp, Dynalink RTA300W.
- Условия атаки - доступ к 280/TCP-порту.
- Цель атаки - DoS админского web-интерфейса, неавторизованный доступ к telnet CLI.
- Описание.
Удаленное администрирование указанных устройств реализуется при помощи web-интерфейса и обычного телнета. К сожалению, по умолчанию эти сервисы доступны только из кабельной сети, но нередко хозяева устройств активизируют возможность администрирования и через порт Wi-Fi.
Опытным путем было установлено, что, если посылать на 280/TCP-порт большое количество пакетов, девайс подвешивает web-интерфейс и позволяет подключиться к telnet CLI без аутентификации. В качестве примитивного эксплойта можно использовать даже известный сканер AMAP от THC:
$ amap 192.168.1.1 280
Если девайс уязвим, тебе удастся без аутентификации подключиться к телнету, получить управляющую информацию (используя команды, описанные в документации) и внести некоторые изменения в работу устройства.
Доступ к секретной информации через web
- Уязвимые устройства - 3Com ADSL 11g Wireless Router, 3Com OfficeConnect Wireless.
- Условия атаки - доступ к 80/TCP-порту.
- Цель атаки - доступ к чувствительной и управляющей информации.
- Описание.
Удивительно, но эти девайсы от 3COM страдают детским недочетом. Любой неавторизованный пользователь может получить в свои руки идентификаторы администратора, а также информацию о сети, в том числе используемые для шифрования ключи. Для получения доступа к этим данным достаточно обратиться через web-браузер к следующим адресам:
/main/config.bin
/main/profile.wlp?PN=ggg
/main/event.logs
Уязвимость format string
- Уязвимое устройство - 3COM OfficeConnect 812.
- Условия атаки - доступ к 80/TCP-порту.
- Цель атаки - реализация DoS-атаки через format string.
- Описание.
Как и положено, на 80-м порту устройства висит http-сервис, предоставляющий доступ к админскому интерфейсу. Если подключиться к устройству браузером, потребуется пройти аутентификацию, введя в web-форму логин и пароль. После неудачной проверки пароля устройство, помимо всего прочего, покажет тебе картинку c URL http://192.168.1.254/graphics/sml3com. Опытным путем было установлено, что, если обратиться браузером к http://192.168.1.254/graphics/sml3com%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%