________________________________________ . : Shell Security Advisory : . ________________________________________ Denial of Service in Conceptronic CADSLR1 Router ----------------------------------------------------------------------------- - 1 - Introducción - Intro ------------------------------------------- El modelo CADSLR1 de Conceptronic es un router para ADSL con un puerto para LAN. Como la mayoria de routers puede ser administrado por telnet o http. En esta ultima se ha encontrado una vulnerabilidad mediante la cual se puede realizar un ataque de Denegacion de Servicio (DoS). The model CADSLR1 it's an ADSL router with one port of LAN, have telnet and http administration. We found a vulnerability in the http administration. - 2 - Descripción de la vulnerabilidad - Problem description ----------------------------------------------------------------------------------------------- La vulnerabilidad se encuentra en la autentificacion por HTTP. Si se introduce una cadena de texto de un tamaño mayor de 65535 el router queda inoperativo durante unos segundos y acto seguido se reinicia. Parece ser que deja ademas en memoria las ultimas conexiones e intentos de identificacion ya que si por ejemplo al autentificarnos ponemos una cadena de 32768 caracteres, no ocurrirá nada pero si lo hacemos una segunda vez el router se reinicia. Se ha testeado en el router CADSLR1 de Conceptronic con Firmware Version 3.04n el cual es vulnerable. The vulnerability it's when autenticate, if insert a string with size greater of 65535 the router reboots. - 3 - Forma de explotar esta vulnerabilidad - How to exploit it ------------------------------------------------------------------------------------------------------ Para aprovechar esta vulnerabilidad con un navegador cualquiera y poner una cadena de caracteres mayor de 65535 ya se podria realizar, aunque ciertos navegadores limitan el maximo de caracteres. Se ha probado con FireFox con resultados positivos mientras que con Internet Explorer no se ha podido realizar el ataque. A continuacion dejo un codigo en perl que explota esta vulnerabilidad. With any internet browser can exploit this vulnerability, insert in user 32768 characters or more and in password too. Internet Explorer limits the size of the string and with this can't exploit this vulnerability, with FireFox it's tested and don't limit the string. Exploit in perl based in the Allegro Rompager exploit by Seth Alan Woolley. $ $victima="ip.victim" $ perl -e 'print "GET / HTTP/1.1\r\nHost: '"$victima"'\r\nAuthorization: Basic " . 'A' x 65536 . "\r\n\r\n"' | nc -vvn $victima 80 - 4 - Solución - How to fix -------------------------------------------- Siendo el ultimo firmware vulnerable la solución ante esta vulnerabilidad es esperar que Conceptronic actualize el firmware. Como medida de seguridad del usuario deshabilitar el acceso remoto por http al router o limitarlo a ips que se consideren seguras. Disable http administration or allow only for secure ips or LAN. - 5 - Contacto con el vendedor - Vendor response ------------------------------------------------------------------------------- Notificada esta vulnerabilidad al vendedor el 13/07/2004, sin respuesta oficial. Notified this vulnerability 13/07/2004. No response from vendor. - 6 - Créditos - Credits ----------------------------------------- Autor: Jordi Corrales ( jordi[at]shellsec.net ) Editor: Fernando Ortega ( fernando[at]shellsec.net ) Fecha: 13 de Julio de 2004 Url: http://www.shellsec.net Advisory original: http://www.shellsec.net/leer_advisory.php?id=5 Noticia: http://www.shellsec.net/noticias.php?num=461 Comentarios: actualizado el 21/07/2004 (updated) _______________________________________________________ Administrador de Shell Security ( admin[at]shellsec.net ) Shell Security Group ( http://www.shellsec.net ) _______________________________________________________