Vulnerabilidades

En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, 11.6.1-11.6.3.4, y 11.5.2-11.5.8 y BIG-IQ versiones 7.0.0-7.1.0.2, 6.0.0-6.1.0, y 5.1.0-5.4.0, un iControl REST worker no revelado es vulnerable a la inyección de comandos por parte de un usuario administrador o un usuario administrador de recursos. Este problema afecta tanto a iControl REST como a las implementaciones tmsh.

En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.5, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, y 11.5.1-11.6.4, un iControl REST worker no revelado es vulnerable a la inyección de comandos por parte de un usuario administrador o un usuario administrador de recursos. Este ataque solo es explotable en sistemas de múltiples afiliados.

En FreeBSD versión 12.0-STABLE anterior a r349197 y versión 12.0-RELEASE anterior a 12.0-RELEASE-p6, un bug en la pila de RACK TCP no predeterminada puede permitir a un atacante causar que varias listas vinculadas crezcan sin límites y causar un salto de lista costoso en cada paquete procesado, lo que conlleva al agotamiento de los recursos y una denegación de servicio.

En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.5, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, y 11.5.1-11.6.4 y BIG-IQ versiones 6.0. 0-6.1.0 y 5.1.0-5.4.0, un iControl REST worker no revelado es vulnerable a la inyección de comandos para un usuario Administrador.

En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4 y 12.1.0-12.1.4, un patrón de tráfico no revelado enviado hacia un servidor virtual BIG-IP UDP puede conllevar a una denegación de servicio (DoS).

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El dispositivo presenta un binario personalizado llamado mp4ts en la carpeta /var/www/video. Al parecer este binario vuelca el VERB HTTP en los registros del sistema. Como parte de ello, recupera el VERB HTTP enviado por el usuario y usa una función sprintf vulnerable en la dirección 0x0000C3D4 en la función sub_C210 para copiar el valor en una cadena y luego en un archivo de registro. Dado que no se realiza ninguna comprobación de límites en la variable de entorno en la dirección 0x0000C360, esto resulta en un desbordamiento de pila y sobrescribe el registro PC, lo que permite a un atacante ejecutar un desbordamiento de búfer o incluso un ataque de inyección de comando.

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El dispositivo ejecuta un demonio personalizado en el puerto UDP 5978 que es llamado "dldps2121" y escucha los paquetes de difusión enviados en 255.255.255.255. Este demonio maneja el protocolo basado en UDP D-Link personalizado, que permite a las aplicaciones móviles D-Link y a las aplicaciones de escritorio detectar dispositivos D-Link en la red local. El binario procesa los paquetes UDP recibidos enviados desde cualquier dispositivo en la función "main". Una ruta (path) en la función se dirige hacia un bloque de código que maneja los comandos que se ejecutarán en el dispositivo. El protocolo personalizado creado por D-Link sigue el siguiente patrón: Paquete, Tipo de paquete; M=dirección MAC del dispositivo o transmisión; D=Tipo de dispositivo; C=cadena de comando codificada en base64; prueba=1111. Si un paquete es recibido con el tipo de paquete "S" o 0x53, la cadena pasada en el parámetro "C" se descodifica en base64 y luego se ejecuta pasando a una API del Sistema. Podemos ver en la dirección 0x00009B44 que la cadena recibida en el tipo de paquete sustracción 0x31 o "1" del tipo de paquete y se compara con 0x22 o "double quotes". Si este es el caso, entonces el paquete se envía hacia el bloque de código que ejecuta un comando. Luego, el valor almacenado en el parámetro "C" se extrae en la dirección 0x0000A1B0. Finalmente, la cadena recibida se descodifica en base 64 y se transmite a la API del sistema en la dirección 0x0000A2A8 como se muestra a continuación. La misma forma de comunicación puede ser inicializada mediante cualquier proceso, incluido un proceso de atacante en el teléfono móvil o en el escritorio, y esto permite que una aplicación de terceros en el dispositivo ejecute comandos en el dispositivo sin alguna autenticación por medio del envío de solo 1 paquete UDP con codificación base64 personalizada.

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El dispositivo presenta un demonio telnet personalizado como parte de la busybox y recupera la contraseña del archivo instantáneo utilizando la función getspnam en la dirección 0x00053894. Luego realiza una operación de cifrado en la contraseña recuperada del usuario en la dirección 0x000538E0 y realiza un strcmp en la dirección 0x00053908 para comprobar si la contraseña es correcta o incorrecta. Sin embargo, el archivo /etc/shadow es una parte del sistema de archivos CRAM-FS, lo que quiere decir que el usuario no puede cambiar la contraseña y, por lo tanto, se utiliza un hash codificado en /etc/shadow para que coincida con las credenciales suministradas por el usuario. Este es un hash con sal de la cadena "admin" y, por lo tanto, actúa como una contraseña para el dispositivo que no se puede cambiar debido a que todo el sistema de archivos es de solo lectura.

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El dispositivo ejecuta un demonio personalizado en el puerto UDP 5978 que se llama "dldps2121" y escucha los paquetes de difusión enviados en 255.255.255.255. Este demonio maneja el protocolo basado en UDP D-Link personalizado que permite a las aplicaciones móviles de D-Link y las aplicaciones de escritorio detectar dispositivos D-Link en la red local. El binario procesa los paquetes UDP recibidos, enviados desde cualquier dispositivo en la función "main". Una ruta (path) en la función se dirige hacia un bloque de código que procesa paquetes que realizan una operación de copia ilimitada que permite desbordar el búfer. El protocolo personalizado creado por Dlink sigue el siguiente patrón: Packetlen, Tipo de paquete; M=dirección MAC del dispositivo o transmisión; D=Tipo de dispositivo; C=cadena de comando codificada en base64; prueba=1111 Podemos visualizar que la función de dirección que comienza en la dirección 0x0000DBF8 maneja todo el paquete UDP y realiza una copia no segura usando la función strcpy en la dirección 0x0000DC88. Esto genera el desbordamiento del puntero de la pila después de 1060 caracteres y, por lo tanto, permite controlar el registro PC y resulta en la ejecución del código. La misma forma de comunicación puede iniciarse mediante cualquier proceso, incluido un proceso de atacante en el teléfono móvil o en el escritorio, y esto permite que una aplicación de terceros en el dispositivo ejecute comandos en el dispositivo sin ninguna autenticación mediante el envío de solo 1 paquete UDP con la codificación base64 personalizada.

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El dispositivo requiere que un usuario que inicie sesión en el dispositivo suministre un nombre de usuario y contraseña. Sin embargo, el dispositivo permite que las aplicaciones D-Link en los dispositivos móviles y de escritorio se comuniquen con el dispositivo sin ninguna autenticación. Como parte de esa comunicación, el dispositivo utiliza una versión personalizada de la codificación base64 para pasar datos en ambos sentidos entre las aplicaciones y el dispositivo. Sin embargo, la misma forma de comunicación puede iniciarse mediante cualquier proceso, incluido un proceso de atacante en el teléfono móvil o el escritorio, lo que permite a un tercero recuperar la contraseña del dispositivo sin ninguna autenticación mediante el envío de solo 1 paquete UDP con codificación base64 personalizada. La severidad de este ataque se incrementa por el hecho de que hay más de 100.000 dispositivos D-Link instalados.

El monitor de presión Wifi blood BP700 versión 10.1 de Blipcare, permite la corrupción de memoria que resulta en la Denegación de Servicio. Cuando está conectado a la conexión inalámbrica abierta "Blip" proporcionada por el dispositivo, si se envía una cadena larga como parte de la petición HTTP en cualquier parte de los encabezados HTTP, el dispositivo podría dejar de responder por completo. Presuntamente esto sucede ya que la huella de memoria suministrada a este dispositivo es muy pequeña. De acuerdo con las especificaciones de Rezolt, el módulo Wi-Fi solo tiene 256k de memoria. Como resultado, una operación de copia de cadena incorrecta que usando memcpy, strcpy o cualquiera de sus otras variantes podría resultar en el llenado del espacio de memoria asignado a la función que se ejecuta y esto podría provocar una corrupción de la memoria. Para probar la teoría, uno puede modificar la aplicación de demostración provista por el WICED SDK de Cypress e introducir una operación "memcpy" incorrecta y utilizar la aplicación compilada en la placa de evaluación suministrada por los semiconductores Cypress con exactamente el mismo SOC de Wi-Fi. Los resultados fueron idénticos donde el dispositivo se detendría completamente a cualquiera de las peticiones web o de ping.

Se detectó como parte de la investigación sobre dispositivos IoT en el firmware más reciente para el dispositivo Blipcare, que el dispositivo permite conectarse a la interfaz de administración web en una conexión no SSL usando el protocolo HTTP de texto plano. El usuario utiliza la interfaz de administración web del dispositivo para proveer las credenciales Wi-Fi del usuario para que el dispositivo pueda conectarse a él y tener acceso a Internet. Este dispositivo actúa como un monitor de presión Sanguínea Inalámbrico y es usado para medir los niveles de presión sanguínea de una persona. Esto permite a un atacante que está conectado a la red inalámbrica del dispositivo Blipcare poder espiar fácilmente estos valores mediante un ataque de tipo MITM.