Il router invia password in chiaro: si tratta di una grave vulnerabilità?

Naviga le tue risposte
6

Oggi sono andato a fare & resettare il mio router, ma ho dimenticato la password dell'account per l'ISP. Sulla (estremamente) off-chance della password presente nel campo "Password", sono andato alla pagina appropriata delle impostazioni di configurazione del router ( che non è protetto usando HTTPS ) & trovato che la password era stata oscurata con caratteri fittizi (••••).

Tuttavia, durante la visualizzazione del sorgente della pagina la password è completamente visualizzabile , di cui è essenzialmente questo: 

<inputtype="password" name="Password" value="SDrtdF">

ovviamente non è la mia password, e ho anche cambiato un paio di aspetti dell'elemento HTML per minimizzare lo sfruttamento

Il valore di input del campo della password è fornito dal router, e non dal browser (non uso la compilazione automatica o strumenti per ricordare le password). Per questo esempio, la vera password è SDrtdF , che è il valore del campo password.

Questo significa essenzialmente che chiunque abbia accesso al router * può facilmente recuperare la password per l'account che si connette all'ISP e utilizzarla altrove per scopi illegali. Sapendo come alcuni ISP possono essere (soprattutto negando che ci sia un problema, prendendo una settimana per capire qual è il problema, ecc.), Il primo che la vittima può sapere è quando l'ISP li interrompe e / o la polizia viene a bussare la loro porta.

* se un computer sulla rete è stato infettato da malware e amp; se detto malware restituisce una copia della fonte di ogni pagina visitata, non sarà richiesto alcun accesso "fisico" al router.

È prassi comune sui siti web utilizzare l'input "fittizio" nei campi password / sensibili. La compilazione automatica del browser non mette nemmeno le password in "vista semplice" in questo modo.

È ovvio che la password dell'ISP è supposta da nascondere (altrimenti, perché denotarla come un campo password in primo luogo se la password dovrebbe essere visibile?).

Questa vulnerabilità dovrebbe essere presa sul serio? Vale la pena sensibilizzare il produttore del router (direi di sì, poiché anche gli altri router potrebbero presentare la stessa vulnerabilità?

NB: Ho già reso noto il produttore del router, e non ho intenzione di rivelare il produttore o il modello del router fino a quando / se questo è stato risolto, per sicurezza dei router vulnerabili.

    
posta cybermonkey 28.12.2015 - 20:44
fonte

1 risposta

4

L'autenticazione dell'amministratore del router è necessaria per esporre la password in chiaro.

Questo è un cattivo design per certo. Significa che il router sta memorizzando la password dell'ISP in una forma reversibile. Tuttavia, deve invertirlo per autenticare l'ISP. Il vero problema è che non è necessario esporre.

Questo problema esiste anche per gli ingranaggi di rete di livello aziendale. Sui firewall Cisco è possibile esporre i segreti condivisi IPsec e altre credenziali simmetriche / password simili eseguendo comandi che mostrano i dettagli di configurazione da una CLI. Questo viene fatto in parte per supportare backup facilmente ripristinabili della configurazione.

L'esposizione nell'interfaccia utente non è necessaria. Questo è un esempio di vulnerabilità Sensitive Data Exposure (OWASP Top 10 2013-A6) . È considerato difficile da sfruttare (è necessario essere già un amministratore sul router), ma di grande impatto. In questo caso è improbabile che il valore delle credenziali di autenticazione della rete del client ISP sia particolarmente significativo. L'ISP può avere controlli di compensazione in atto e più autenticazioni da posizioni separate sarebbe una violazione evidente che l'ISP noterebbe.

Non ritengo che questa sia una seria vulnerabilità. Dovrebbe essere affrontato, ma non lo considero uno show stopper che richiede l'installazione di un router diverso.

    
risposta data 31.12.2015 - 21:27
fonte

Leggi altre domande sui tag

HMAC con o senza crittografia dei dati? Directory Traversal: Che effetto ha questo '?' e '.' hai sull'URL?