Directory Traversal en módems 2wire 4011G y 5012NV

Recientemente acabo de leer una entrada en la Comunidad Underground de México en la que avisan de una interesante vulnerabilidad de directory traversal en los módems 2wire 4011G y 5012NV, unos de los más populares del país distribuidos por Telmex y otros ISPs y cuyos modelos anteriores ya adolecieron de algunas otras vulnerabilidades importantes como CSRF y DoS.

La vulnerabilidad de la que hablamos ahora fue descubierta por Abraham Díaz en septiembre de 2012 que, tras intentar avisar al fabricante y al ISP y después de no recibir respuesta, decidió publicarla el 31 de diciembre.

El problema está en el formulario de inicio de sesión del portal de configuración por http de estos módems, específicamente en el control oculto llamado __ENH_ERROR_REDIRECT_PATH__ que no es validado correctamente en el servidor. Un atacante sin autenticación puede manipular su valor para obtener del dispositivo archivos con contraseñas de fábrica en texto plano, configuraciones, etc.


Los dispositivos afectados son:
2wire 4011G-001 con firmware <= 9.1.1.16
2wire 5012NV-002 con firmware <= 9.3.1.29
Posiblemente otros con firmware 9.x.x.x
 

 
El autor también facilita un script para nmap (http-2wire-dtvuln.zip) que ayuda a identificar al objetivo e intenta obtener varios archivos:
 

Comentarios