Vulnerabilidades

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El dispositivo ejecuta un demonio personalizado en el puerto UDP 5978 que se llama "dldps2121" y escucha los paquetes de difusión enviados en 255.255.255.255. Este demonio maneja el protocolo basado en UDP D-Link personalizado que permite a las aplicaciones móviles de D-Link y las aplicaciones de escritorio detectar dispositivos D-Link en la red local. El binario procesa los paquetes UDP recibidos, enviados desde cualquier dispositivo en la función "main". Una ruta (path) en la función se dirige hacia un bloque de código que procesa paquetes que realizan una operación de copia ilimitada que permite desbordar el búfer. El protocolo personalizado creado por Dlink sigue el siguiente patrón: Packetlen, Tipo de paquete; M=dirección MAC del dispositivo o transmisión; D=Tipo de dispositivo; C=cadena de comando codificada en base64; prueba=1111 Podemos visualizar que la función de dirección que comienza en la dirección 0x0000DBF8 maneja todo el paquete UDP y realiza una copia no segura usando la función strcpy en la dirección 0x0000DC88. Esto genera el desbordamiento del puntero de la pila después de 1060 caracteres y, por lo tanto, permite controlar el registro PC y resulta en la ejecución del código. La misma forma de comunicación puede iniciarse mediante cualquier proceso, incluido un proceso de atacante en el teléfono móvil o en el escritorio, y esto permite que una aplicación de terceros en el dispositivo ejecute comandos en el dispositivo sin ninguna autenticación mediante el envío de solo 1 paquete UDP con la codificación base64 personalizada.

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El dispositivo requiere que un usuario que inicie sesión en el dispositivo suministre un nombre de usuario y contraseña. Sin embargo, el dispositivo permite que las aplicaciones D-Link en los dispositivos móviles y de escritorio se comuniquen con el dispositivo sin ninguna autenticación. Como parte de esa comunicación, el dispositivo utiliza una versión personalizada de la codificación base64 para pasar datos en ambos sentidos entre las aplicaciones y el dispositivo. Sin embargo, la misma forma de comunicación puede iniciarse mediante cualquier proceso, incluido un proceso de atacante en el teléfono móvil o el escritorio, lo que permite a un tercero recuperar la contraseña del dispositivo sin ninguna autenticación mediante el envío de solo 1 paquete UDP con codificación base64 personalizada. La severidad de este ataque se incrementa por el hecho de que hay más de 100.000 dispositivos D-Link instalados.

El monitor de presión Wifi blood BP700 versión 10.1 de Blipcare, permite la corrupción de memoria que resulta en la Denegación de Servicio. Cuando está conectado a la conexión inalámbrica abierta "Blip" proporcionada por el dispositivo, si se envía una cadena larga como parte de la petición HTTP en cualquier parte de los encabezados HTTP, el dispositivo podría dejar de responder por completo. Presuntamente esto sucede ya que la huella de memoria suministrada a este dispositivo es muy pequeña. De acuerdo con las especificaciones de Rezolt, el módulo Wi-Fi solo tiene 256k de memoria. Como resultado, una operación de copia de cadena incorrecta que usando memcpy, strcpy o cualquiera de sus otras variantes podría resultar en el llenado del espacio de memoria asignado a la función que se ejecuta y esto podría provocar una corrupción de la memoria. Para probar la teoría, uno puede modificar la aplicación de demostración provista por el WICED SDK de Cypress e introducir una operación "memcpy" incorrecta y utilizar la aplicación compilada en la placa de evaluación suministrada por los semiconductores Cypress con exactamente el mismo SOC de Wi-Fi. Los resultados fueron idénticos donde el dispositivo se detendría completamente a cualquiera de las peticiones web o de ping.

Se detectó como parte de la investigación sobre dispositivos IoT en el firmware más reciente para el dispositivo Blipcare, que el dispositivo permite conectarse a la interfaz de administración web en una conexión no SSL usando el protocolo HTTP de texto plano. El usuario utiliza la interfaz de administración web del dispositivo para proveer las credenciales Wi-Fi del usuario para que el dispositivo pueda conectarse a él y tener acceso a Internet. Este dispositivo actúa como un monitor de presión Sanguínea Inalámbrico y es usado para medir los niveles de presión sanguínea de una persona. Esto permite a un atacante que está conectado a la red inalámbrica del dispositivo Blipcare poder espiar fácilmente estos valores mediante un ataque de tipo MITM.

En el firmware más reciente para Blipcare, el dispositivo provee una red inalámbrica abierta llamada "Blip" para comunicarse con el dispositivo. El usuario se conecta a esta red inalámbrica abierta y utiliza la interfaz de administración web del dispositivo para proporcionar las credenciales de Wi-Fi del usuario para que el dispositivo pueda conectarse a él y tener acceso a Internet. Este dispositivo actúa como un monitor de presión Sanguínea Inalámbrico y es usado para medir los niveles de presión sanguínea de una persona. Esto permite a un atacante que esté cerca de la señal inalámbrica generada por el dispositivo Blipcare poder espiar fácilmente las credenciales. Adicionalmente, un atacante puede conectarse a la red inalámbrica abierta "Blip" expuesta por el dispositivo y modificar la respuesta HTTP presentada al usuario mediante el dispositivo para ejecutar otros ataques, tales como convencer al usuario de descargar y ejecutar un binario malicioso que infectaría con malware a un ordenador o dispositivo móvil del usuario.

Se detectó un problema en los dispositivos DCS-1130 de D-Link. El dispositivo requiere que un usuario inicie sesión en el dispositivo para suministrar un nombre de usuario y contraseña. Sin embargo, el dispositivo no impone la misma restricción en una URL específica, lo que permite que cualquier atacante en posesión de esta, pueda visualizar la fuente de video en tiempo real. La severidad de este ataque se incrementa por el hecho de que hay más de 100.000 dispositivos D-Link instalados.

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El rtspd binario en la carpeta /sbin del dispositivo maneja todas las conexiones rtsp recibidas por el dispositivo. Al parecer el binario realiza una operación memcpy en la dirección 0x00011E34 con el valor enviado en el encabezado RTSP "Authorization: Basic" y lo almacena en la pila. El número de bytes que se copiarán se calcula según la longitud de la cadena enviada por el cliente en el encabezado RTSP. Como resultado, memcpy copia más datos que luego puede mantener en la pila y esto resulta en una corrupción de los registros sub_F6CC de la función caller, lo que resulta en la corrupción de la memoria. La severidad de este ataque se incrementa por el hecho de que el mismo valor se copia en la pila en la función 0x00011378 y esto permite desbordar el búfer asignado y, por lo tanto, controlar el registro de la PC, que resultará en una ejecución de código arbitraria en el dispositivo.

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El orthrus binario en la carpeta /sbin del dispositivo maneja todas las conexiones UPnP recibidas por el mismo. Al parecer el binario realiza una operación sprintf en la dirección 0x0000A3E4 con el valor en el parámetro de línea de comando "-f" y lo almacena en la pila. En vista de que no hay una comprobación de longitud, esto resulta en una corrupción de los registros para la función sub_A098, que resulta en una corrupción de la memoria.

Se encontró que Spacewalk, en todas las versiones hasta la 2.8, no computaba de forma segura las sumas de comprobación de token del cliente. Un atacante con un conjunto de encabezados válidos, pero expirados y autenticados, podría mover algunos dígitos, extendiendo artificialmente la validez de la sesión sin modificar la suma de comprobación.

Se encontró un fallo de salto de ruta (path) en el proxy de spacewalk, en todas las versiones hasta la 2.8, en la manera en que el proxy procesa los tokens del cliente en la caché. Un atacante remoto no autenticado podría utilizar este fallo para probar la existencia de archivos arbitrarios, si tienen acceso al sistema de archivos del proxy, o si pueden ejecutar código arbitrario en el contexto del proceso httpd.

Read the Docs anterior a versión 3.5.1, presenta un Redireccionamiento Abierto si se utilizan determinados redireccionamientos definidos por el usuario. Esto afecta a las instancias privadas de Read the Docs (además de los sitios web públicos readthedocs.org).

Una vulnerabilidad de lectura fuera de los límites ha sido identificada en Alpha7 PC Loader versiones 1.1 y anteriores de Fuji Electric, lo que puede bloquear el sistema.