El investigador de seguridad Pedro Ribeiro reveló varias vulnerabilidades en los routers personalizados ZyXEL que podrían ser fácilmente explotados por los hackers. Los detalles sobre vulnerabilidades serias en una serie de routers distribuidos libremente por el ISP Tailandés TrueOnline se publicaron el lunes después de revelaciones privadas hechas a los vendedores en julio se quedaron sin respuesta.









El investigador de seguridad Pedro Ribeiro de Agile Information Security reveló múltiples defectos en una serie de routers distribuidos por ISP de Tailandia, TrueOnline.

El ISP tailandés distribuye varios renombrado ZyXEL y millones de routers a sus clientes.

Los modelos ZyXEL P660HN-T v1, ZyXEL P660HN-T v2 y Billion 5200W-T contienen una serie de cuentas administrativas predeterminadas y sus interfaces web se ven afectadas por vulnerabilidades de inyección de comandos. El lunes, Ribeiro publicó una prueba de concepto de exploit, lanzó Metasploit módulos para la explotación de las vulnerabilidades en los routers.

Todos los routers todavía están en uso extenso en Tailandia, cómo el router  Billion 5200W-T que se distribuye actualmente a los nuevos clientes.

"TrueOnline es un importante proveedor de servicios de Internet en Tailandia, que distribuye varios renombrado ZyXEL y millones de routers a sus clientes. Tres modelos de enrutador - ZyXEL P660HN-T v1, ZyXEL P660HN-T v2 y Billion 5200W-T contienen varias cuentas administrativas por defecto, así como vulnerabilidades de inyección de comandos autenticadas y no autenticadas en sus interfaces web, principalmente en la función de reenvío remoto syslog .

Ribeiro informó de las vulnerabilidades a través del SecuriTeam Secure Disclosure Program, que los notificó a los vendedores en julio.

Los dispositivos de red se basan en el sistema TC3162U SoC-on-a-chip fabricado por TrendChip, en particular, los routers defectuosos tienen dos variantes de firmware llamadas "ras" y "tclinux".

Riberio descubrió vulnerabilidades de seguridad en la variante 'tclinux', varios archivos ASP en la interfaz web se ven afectados por problemas de ataque de inyección de comandos.

"Cabe señalar que tclinux contiene archivos y configuraciones en otros idiomas (por ejemplo, en turco). Por lo tanto, es probable que estas versiones de firmware no sean específicas de TrueOnline, y otros enrutadores personalizados de ISP en otros países también podrían ser vulnerables ", agregó Ribeiro. "También es posible que otras marcas y modelos de enrutadores que usan la variante tclinux también se vean afectados por las vulnerabilidades de inyección de comandos (es probable que las cuentas por defecto sean específicas de TrueOnline)".

El investigador explicó que la mayoría de las vulnerabilidades pueden ser explotadas de forma remota, tanto por atacantes autenticados como no autenticados.

El enrutador ZyXel P660HN-T v1 se ve afectado por un problema de inyección de comandos no autenticado que puede ser explotado remotamente por atacantes.

"Este enrutador tiene una vulnerabilidad de inyección de comandos en la función Mantenimiento> Logs> Registro del sistema> Reenvío del registro del sistema remoto. La vulnerabilidad se encuentra en la página ViewLog.asp, a la que se puede acceder sin autenticar. La siguiente solicitud hará que el enrutador emita 3 peticiones de ping a 10.0.99.102:

POST /cgi-bin/ViewLog.asp HTTP/1.1
remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=%3bping+-c+3+10.0.99.102%3b%23&remoteSubmit=Save

El enrutador ZyXel P660HN-T V2 está afectado por el mismo problema, pero sólo puede ser explotado remotamente por atacantes autenticados.

"A diferencia de la P660HN-Tv1, la inyección está autenticada y en la página logSet.asp. Sin embargo, este enrutador contiene una contraseña de supervisor codificada (véase más abajo) que puede utilizarse para explotar esta vulnerabilidad. La inyección está en la página logSet.asp que configura el reenvío remoto de los registros syslog y el parámetro vulnerable a la inyección es el parámetro serverIP "indica el aviso.

El tercer enrutador distribuido por el ISP tailandés es el modelo Billion 5200W-T, este modelo se ve afectado por problemas de inyección de comandos no autenticados y autenticados. Según el investigador un defecto reside en su página adv_remotelog.asp.

"El router Billion 5200W-T también tiene varias otras inyecciones de comandos en su interfaz, dependiendo de la versión del firmware, como una inyección de comandos autenticada en tools_time.asp (parámetro uiViewSNTPServer)", dijo Ribeiro. "Debe tenerse en cuenta que este enrutador contiene varias cuentas administrativas codificadas que pueden utilizarse para explotar esta vulnerabilidad".

Todas las versiones usan credenciales de administrador predeterminadas y débiles que fueron accesibles de forma remota.

>> Update (18/01/2017):
ZyXEL have responded to this advisory and published information about upcoming fixes for the 660HN v1 and v2

in http://www.zyxel.com/support/announcement_unauthenticated.shtml

Fuentes:
https://raw.githubusercontent.com/pedrib/PoC/master/advisories/zyxel_trueonline.txt