ADVISORE/0206 06/06/2006 INTRUDERS TIGER TEAM SECURITY - SECURITY ADVISORY http://www.intruders.com.br/ http://www.intruders.org.br/ ADVISORY/0106 - D-Link Wireless Access-Point (DWL-2100ap) PRIORIDADE: ALTA I - INTRUDERS: ---------------- O Intruders Tiger Team Security é um projeto vinculado a Security Open Source (http://www.securityopensource.org.br). O Intruders Tiger Team Security (ITTS) é um grupo de pesquisadores com mais de 10 anos de experiência, especializados no desenvolvimento de projetos de intrusão (Pen-Test) e no desenvolvimento de projetos especiais. Todos os projetos de intrusão (Pen-Test) realizados até o momento pelo Intruders Tiger Team Security obtiveram 100% de sucesso. II - INTRODUÇÃO: ---------------- D-Link AirPlus XtremeG 2.4GHz Wireless Access Point, 54Mbps/108Mbps (802.11g): O D-Link DWL-2100AP é um Internet Server Sem Fio maximizado, pertencente à nova linha AirPlus XtremeG da D-Link, que atende ao padrão 802.11g, operando em uma largura de banda de 108Mbps, e que graças ao novo Chip da Atheros, exclusivo da D-Link, pode alcançar um throughput quinze vezes maior que uma rede Wireless tradicional de 11Mbps. O DWL-2100AP+ interopera de maneira transparente com qualquer produto D-Link Air, D-Link AirPlus, D-Link AirPlus G+ e D-Link Airpremier AG, ou com qualquer produto de outros fabricantes, com base no padrão 802.11b e certamente no padrão 802.11g. As altas taxas de transferência e um alto nível de segurança muito bom transformam o DWL-2100AP na solução ideal para a nova tecnologia, além de proteger os investimentos wireless já realizados. O Access Point D-Link DWL-2100ap é um dos mais vendidos no mundo. III - DESCRIÇÃO: ------------------ O Intruders Tiger Team Security identificou, durante um projeto de intrusão (Pen-Test), uma falha desconhecida no Access Point D-Link DWL-2100ap, que permite que um atacante leia a configuração do dispositivo, sem necessidade de se autenticar no Web Server. Informações extremamente sensíveis são disponibilizadas na configuração do Access Point D-Link DWL-2100ap, por exemplo: - Usuário e senha utilizado para o gerenciamento do dispositivo. - Senha utilizada no WEP e WPa. - SSID, IP, mascara de rede, filtros por MAC Address, etc. IV - ANÁLISE: --------------- Se fizermos uma requisição http solicitando o diretório /cgi-bin/, o Web Server retornará o erro 404 (Página não encontrada). Se fizermos uma requisição http solicitando arquivos, como /cgi-bin/QualquerArquivo.htm, o Web Server continuará retornando o erro 404 (Página não encontrada). Entretanto, se fizermos uma requisição http solicitando qualquer arquivo dentro do diretório /cgi-bin/ com a extensão .cfg, o mesmo nos retornará toda configuração do dispositivo. Por exemplo, se requisitarmos: http://dlink-DWL-2100ap/cgi-bin/Intruders.cfg Teríamos um resultado equivalente ao seguinte: # Copyright (c) 2002 Atheros Communications, Inc., All Rights Reserved # DO NOT EDIT -- This configuration file is automatically generated magic Ar52xxAP fwc: 34 login admin DHCPServer Eth_Acl nameaddr domainsuffix IP_Addr 10.0.0.30 IP_Mask 255.0.0.0 Gateway_Addr 10.0.0.1 RADIUSaddr RADIUSport 1812 RADIUSsecret password IntrudersTest passphrase wlan1 passphrase AnewBadPassPhrase # Várias linhas removidas. O Access Point D-Link DWL-2100ap não permite a desativação do Web Server, e nem mesmo opções para filtrar portas. Vale ressaltar que o Access Point D-Link DWL-2100ap vem configurado de fábrica com usuário e senha padrão (user:admin e sem senha). V. DETECÇÃO ------------- O Intruders Tiger Team Security confirmou a existência dessa vulnerabilidade em todos os firmwares testados, inclusive a última versão, 2.10na. Possivelmente outros modelos de Access-Point da D-Link podem estar vulneráveis. VI. SUGESTÃO -------------- Empresa D-Link: 1 - Utilização de cookies fortes para garantir que apenas usuários autenticados obtenham acesso às configurações. 2 - Armazenar configurações sensíveis como senha(s) utilizando hash(s). 3 - Permitir a criação de políticas de firewall e recurso de filtros por porta e ip. 4 - Solicitar que o usuário e senha padrão sejam modificados após o primeiro logon, e que o mesmo não possa ser igual ao último utilizado. 5 - Utilização de HTTP com SSL (HTTPS). 6 - Contratação de empresas especializadas em Pen-Test e auditoria visando homologar a segurança dos produtos D-Link. Clientes D-LINK: 1 - Atualize o firmware do Access Point D-Link DWL-2100ap. O link direto para download do firmware é http://www.dlinkbrasil.com.br/internet/downloads/Wireless/DWL-2100AP/DWL2100AP-firmware-v210na-r0343.tfp VII - CRONOLOGIA ---------------- 11/02/2006 - Falha descoberta durante um Pen-Test. 15/02/2006 - D-Link Internacional contatado. 17/02/2006 - Sem resposta. 18/02/2006 - D-Link Internacional contatado novamente. 24/02/2006 - Sem resposta. 25/02/2006 - Última tentativa de contato com a D-Link Internacional. 29/02/2006 - Sem resposta. 29/02/2006 - D-Link do Brasil Contatado. 02/03/2006 - Sem resposta. 03/03/2006 - D-Link do Brasil contatado novamente. 06/03/2006 - Resposta da D-Link Brasil. 09/03/2006 - Patch criado. 14/03/2006 - Patch adicionado ao site da D-Link Brasil. 06/06/2006 - Advisory publicado. VIII - CRÉDITOS -------------- Wendel Guglielmetti Henrique e Intruders Tiger Team Security descobriram esta vulnerabilidade. Agradecimentos a Glaudson Ocampos (Intruders Tiger Team Security), Waldemar Nehgme, João Arquimedes (Security Open Source) e Ricardo N. Ferreira (Security Open Source).. Visite o Web Site da Intruders Tiger Team Security: http://www.intruders.com.br/ http://www.intruders.org.br/