Netgear-Authentifizierungsumgehung ermöglicht Router-Übernahme

  • Microsoft-Forscher entdeckten in den Routern der DGN-2200v1-Serie Firmware-Fehler, die eine Umgehung der Authentifizierung ermöglichen, um Geräte zu übernehmen und auf gespeicherte Anmeldedaten zuzugreifen.

    Netgear hat drei Fehler in einer seiner Router-Familien gepatcht, die es Bedrohungsakteuren ermöglichen können, die Authentifizierung zu umgehen, um in Unternehmensnetzwerke einzudringen und Daten und Zugangsdaten zu stehlen, wenn sie ausgenutzt werden.

    Microsoft-Sicherheitsforscher entdeckten die Fehler in Netgear-Routern der DGN-2200v1-Serie, als sie das Fingerprinting von Geräten untersuchten, sagte Jonathan Bar Or vom Microsoft 365 Defender-Forschungsteam in einem Blog-Post, der am Mittwoch veröffentlicht wurde.

    “Wir haben ein sehr merkwürdiges Verhalten festgestellt: Ein Gerät, das einem Nicht-IT-Mitarbeiter gehörte, versuchte, auf den Management-Port eines Netgear DGN-2200v1-Routers zuzugreifen”, schreiben die Forscher.

    Die Forscher untersuchten und identifizierten schließlich die Schwachstellen, die von Netgear unter den Bezeichnungen PSV-2020-0363, PSV-2020-0364 und PSV-2020-0365 geführt werden (CVEs wurden nicht ausgegeben) und deren CVSS-Rating von hoch (7.4) bis kritisch (9.4) reicht. Sie meldeten ihre Entdeckung an Netgear, das ein Security Advisory veröffentlicht hat, das die Schwachstellen behebt.

    Ein Angreifer kann die Schwachstellen ausnutzen, um in die Verwaltungsseiten eines Routers einzudringen, ohne sich anzumelden, und den Router zu übernehmen, sowie einen kryptografischen Seitenkanalangriff zu verwenden, um die gespeicherten Anmeldeinformationen des Routers zu erlangen, schrieb Bar.

    Die vollständige Ausnutzung der Schwachstellen “kann die Sicherheit eines Netzwerks kompromittieren – und Angreifern Tür und Tor öffnen, um ungehindert durch eine ganze Organisation zu streifen”, schrieb er.

    Auspacken des Problems

    Die Forscher luden die Firmware für das betreffende Gerät von der Netgear-Website herunter, um herauszufinden, warum ein zufälliges Gerät versuchte, sich mit dem Management-Port des Routers zu verbinden. Sie beobachteten, dass die anomale Kommunikation den Standardport verwendete, der von HTTPd bedient wird, also konzentrierten sie sich darauf, um zu sehen, wo das Problem liegen könnte.

    Die Forscher führten eine statische Analyse der HTTPd-Binärdatei und eine dynamische Analyse durch, indem sie unter anderem QEMU, einen Open-Source-Emulator, laufen ließen, um das Problem zu untersuchen, so die Forscher.

    Als sie schließlich untersuchten, wie HTTPd vorschreibt, welche Seiten ohne Authentifizierung serviert werden sollen, fanden sie einen “Pseudo-Code” als ersten Seitenbehandlungscode innerhalb von HTTPd, der bestimmte Seiten wie “form.css” oder “func.js” automatisch zulässt.

    Dies wäre an und für sich kein Problem, schrieb Bar, außer “Netgear entschied sich, ‘strstr’ zu verwenden, um zu prüfen, ob eine Seite .JPG-, .GIF- oder ‘ess_’-Substrings hat, und versuchte, die gesamte URL abzugleichen”, sagte er. Dies bedeutete, dass Forscher auf jede Seite auf dem Gerät zugreifen konnten, einschließlich derjenigen, die eine Authentifizierung erfordern, “indem sie eine GET-Variable mit der relevanten Teilzeichenkette (wie ‘?.GIF”) anhängen”, schrieb er.

    Bar verwendete das Beispiel “hxxps://10[.]0[.]138/WAN_wan.htm?pic.gif”, um zu demonstrieren, wie die Forscher “eine vollständige und völlig zuverlässige Umgehung der Authentifizierung” erreicht haben. Auf diese Weise erreichten die Forscher “die vollständige Kontrolle über den Router”, sagte er.

    Erforschung der Router-Authentifizierung

    Danach beschlossen die Forscher, noch tiefer einzutauchen, um zu sehen, wie die Authentifizierung implementiert wurde, und fanden heraus, dass die Router-Anmeldeinformationen auch über einen Seitenkanal-Angriff erlangt werden konnten, sagten sie.

    Darüber hinaus nutzten sie die erste Schwachstelle zur Umgehung der Authentifizierung, um zu sehen, ob sie den Benutzernamen und das Kennwort, die vom Router verwendet werden, durch eine andere bestehende Schwachstelle wiederherstellen können, wobei sie sich auf die Sicherungs- und Wiederherstellungsfunktion des Geräts konzentrierten. Durch Reverse-Engineering der Funktionalität fanden sie heraus, dass sie es konnten, schrieb Bar.

    “Nach einigen vorbereitenden Schritten werden die Inhalte mit einem konstanten Schlüssel ‘NtgrBak’ DES-verschlüsselt”, schrieb er. “Dies ermöglicht es einem Angreifer, das Klartext-Passwort (das im verschlüsselten NVRAM gespeichert ist) aus der Ferne zu erhalten. Der Benutzername, der sehr wohl Variationen von ‘admin’ sein kann, kann auf die gleiche Weise abgefragt werden.”

    “Mit dieser Untersuchung haben wir gezeigt, wie eine einfache anomale Verbindung zu einem Router, die über den Endpoint Discovery Service gefunden wurde, dazu führte, dass wir mehrere Schwachstellen in einem beliebten Router fanden”, schrieb Bar in dem Beitrag. “Router sind ein wesentlicher Bestandteil von Netzwerken, daher ist es wichtig, die Programme zu sichern, die ihre Funktionen unterstützen.”

    Die Schwachstellen sind nicht das erste Mal, dass Netgear-Router Authentifizierungsfehler aufweisen, die es Angreifern ermöglichen, sie als Einstiegspunkt in ein größeres Netzwerk zu nutzen. Vor etwa einem Jahr entdeckten Forscher eine ungepatchte Zero-Day-Schwachstelle in der Firmware, die 79 Netgear-Gerätemodelle für eine vollständige Übernahme anfällig machte. Darüber hinaus entschied sich das Unternehmen, 45 dieser Modelle ungepatcht zu lassen, weil sie veraltet waren oder das Ende ihrer Lebensdauer erreicht hatten.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com