Comtrend HG536+ poligon firmware tftp vulnerable

19 junio 2009 Publicado por cLimbo

##########################################
Comtrend HG536+ poligon firmware tftp vulnerabilidad
URL del vendedor: www.comtrend.com
info: www.adslzone.net/firmware-adslzone-poligon.html
Avisado por: http://lostmon.blogspot.com/2009/06/comtrend-hg536-poligon-firmware-tftp.html
Aviso al vendedor: NO Exploit: lean la explicación
#########################################

##############
Historia
##############

Trata de una investigación ampliada en varias vulns =>

http://rootdev.blogspot.com/2009/04/vulnerabilidades-en-comtrend-hg536.html

y => http://www.securityfocus.com/bid/32975

poligon firmware tiene los mismos fallos.

#####################
Descripción del vendedor
Comtrend
#####################

El HG536+ es un 802.11g (54 Mbps) cableada e inalámbrico incluyendo Red de área local (WLAN) router ADSL. Cuatro 10/100 Base-T Ethernet proporcionan conectividad LAN cableada 802.11g integrada con un punto de acceso WLAN Wi-Fi para conectividad inalámbrica.

###################
Descripción Poligon firmware
ADSLZone
####################

Poligon ADSLzone procede de varios fabricantes de firmware y proveedores que utilizan Internet (Asus, U.S Robotics, Comm Net , Broadcom, Deutsche Telekom, Alice Italy, Pirelli (Italia), Bungury (Rusia) y Vodafone (Thailandia).

################
Vulnerabilidades
################

Este firmware tiene un error en el servicio TFTP, si han permitido que un usuario de acceso de LAN accediera al servidor tftp y/o el acceso de WAN, este router es propenso a una vulnerabilidad DoS.

en el archivo de configuración podemos buscar que permitió los servicios concretamente en esta línea =>

—————————————————
srvCtrlList ftp=”lan” http=”lan” icmp=”lan”
snmp=”disable” ssh=”disable” telnet=”lan” tftp=”lan”
—————————————————-

en este caso han permitido el acceso de LAN tftp

Bien, les mostraré cómo funciona esta vulnerabilidad:

Hay que crear un nuevo archivo html, por ejemplo; tweaking.html (este archivo existe en firmware Poligon pero puedes utilizar otras que tienes tu router concretamente en las carpetas de /webs).

vamos a tratar de subirlo a la máquina desde mi /webs

tftp-i 192.168.1.1 put c: \tweaking.html /webs

el archivo se carga mediante tftp y el servidor está configurado para reiniciar el router después de subir terminado.

Les hago la misma prueba de acceso a través de WAN y obtengo el mismo resultado; reiniciar el router …

Esto puede causar un DoS a un usuario, ya que un atacke puede obligar a reiniciar el router durante todo el tiempo al propietario del router.

###############
Versiones
###############

Comtrend HG536+ router en estos firmwares:

firmware Comtrend A101-302JAZ-C01_R05

firmware A101-302JAZ-C03_R14.A2pB021g.d15h

firmware Poligon, Release.0810b_1525 ADSLZONE v.1.10.08.11b (tftp issue)

#############
Solución
#############

No se dispone de ninguna solución por el momento, ya que por defecto este router está configurado para negar el acceso de conexiones WAN, sólo algo que señalar: este estilo de ataque se puede hacer en caso de que el usuario se encuentre dentro de la LAN o en caso de que el acceso sea de WAN para el servicio TFTP.

################# €nd #############

Thnx To Brink for test with me and for
his patience wen i reboot his router :P
Brinkxd@gmail.com

atentamente:
Lostmon (lostmon@gmail.com)

thz Lost :-)