Рутерът D-Link EXO AX4800 (DIR-X4860) е уязвим към отдалечено изпълнение на неавтентифицирана команда, което може да доведе до пълно превземане на устройството от атакуващи с достъп до порта HNAP.

Маршрутизаторът D-Link DIR-X4860 е високопроизводителен Wi-Fi 6 рутер със скорости до 4800 Mbps и усъвършенствани функции като OFDMA, MU-MIMO и BSS Coloring, които повишават ефективността и намаляват смущенията.

Устройството е особено популярно в Канада, а според уебсайта на D-Link се продава на световния пазар и все още се поддържа активно от производителя.

Днес екипът от изследователи SSD Secure Disclosure обяви, че е открил недостатъци в устройствата DIR-X4860 с най-новата версия на фърмуера – DIRX4860A1_FWV1.04B03, които позволяват неавтентично изпълнение на отдалечени команди (RCE).

„Уязвимостите в сигурността на DIR-X4860 позволяват на отдалечени неавтентифицирани нападатели, които могат да получат достъп до порта HNAP, да получат повишени привилегии и да изпълняват команди като root“, се казва в разкритието на SSD.

„Чрез комбиниране на заобикаляне на удостоверяването с изпълнение на команди устройството може да бъде напълно компрометирано.“

Достъпът до порта HNAP (Home Network Administration Protocol) на маршрутизатора D-Link DIR-X4860 в повечето случаи е сравнително лесен, тъй като обикновено е HTTP (порт 80) или HTTPS (порт 443), достъпен през интерфейса за дистанционно управление на маршрутизатора.

Процес на експлоатиране

Анализаторите на SSD споделиха инструкции стъпка по стъпка за експлоатиране на откритите от тях проблеми, благодарение на което експлойтът за доказване на концепцията (PoC) вече е публично достъпен.

Атаката започва със специално създадена заявка за вход от HNAP към интерфейса за управление на маршрутизатора, която включва параметър с име „PrivateLogin“, зададен на „Username“, и потребителско име „Admin“.

Маршрутизаторът отговаря с предизвикателство, бисквитка и публичен ключ и тези стойности се използват за генериране на валидна парола за вход за акаунта „Admin“.

Последваща заявка за вход с хедър HNAP_AUTH и генерираната LoginPassword се изпраща до целевото устройство, като по същество се заобикаля удостоверяването.

При удостоверен достъп нападателят използва уязвимост при въвеждане на команда във функцията „SetVirtualServerSettings“ чрез специално създадена заявка.

Уязвимата функция ‘SetVirtualServerSettings’ обработва параметъра ‘LocalIPAddress’ без подходящо обработване, което позволява инжектираната команда да се изпълни в контекста на операционната система на маршрутизатора.

SSD заявява, че през последните 30 дни се е свързала три пъти с D-Link, за да сподели своите открития с производителя на рутери, но всички опити за уведомяване са били неуспешни, поради което към момента недостатъците не са отстранени.

До предоставянето на актуализация на фърмуера за сигурност потребителите на DIR-X4860 трябва да деактивират интерфейса за управление на отдалечен достъп на устройството, за да предотвратят използването му.