El enrutador envía la contraseña en texto sin formato: ¿es esto una vulnerabilidad grave?

Navega tus respuestas
6

Hoy fui a ir & reinicie mi enrutador, pero olvidé la contraseña de la cuenta para el ISP. En la posibilidad (extremadamente) de que la contraseña estuviera presente en el campo "Contraseña", fui a la página correspondiente de los ajustes de configuración del enrutador ( que no está protegido mediante HTTPS ) & encontró que la contraseña había sido borrada con caracteres ficticios (••••).

Sin embargo, al ver la fuente de la página, la contraseña es completamente visible , de la cual es esencialmente esto: 

<inputtype="password" name="Password" value="SDrtdF">

obviamente esa no es mi contraseña, y también he cambiado un par de aspectos del elemento HTML para minimizar la explotación

El valor de entrada del campo de contraseña lo proporciona el enrutador, y no el navegador (no uso autocompletar ni herramientas para recordar contraseñas). Para este ejemplo, la contraseña real es SDrtdF , que es el valor del campo de contraseña.

Esto significa esencialmente que cualquier persona que tenga acceso al enrutador * puede recuperar fácilmente la contraseña de la cuenta que se conecta al ISP y usarla en otro lugar por medios ilegales. Sabiendo cómo pueden ser algunos ISP (principalmente negando que haya un problema, tardando una semana en darse cuenta de cuál es el problema, etc.), lo primero que la víctima puede saber es cuando el ISP los interrumpe y / o la Policía acude a su puerta. su puerta.

* si una computadora en la red está infectada con malware & Si dicho malware envía una copia de la fuente de cada página visitada, no se requerirá acceso "físico" al enrutador.

Es una práctica común en los sitios web usar entradas "ficticias" en campos sensibles / con contraseña. El autocompletador del navegador ni siquiera pone las contraseñas a simple vista de esta manera.

Es obvio que se debe ocultar la contraseña del ISP (de lo contrario, ¿por qué denotarla como un campo de contraseña en primer lugar si se supone que la contraseña debe estar visible?).

¿Debería tomarse en serio esta vulnerabilidad? ¿Vale la pena informar al fabricante del enrutador (yo diría que sí, ya que sus otros enrutadores también pueden tener la misma vulnerabilidad?

NB: Ya le informé al fabricante del enrutador, y no voy a revelar el fabricante o el modelo del enrutador hasta que, si esto se soluciona, por seguridad de los enrutadores vulnerables.

    
pregunta cybermonkey 28.12.2015 - 20:44
fuente

1 respuesta

4

La autenticación del administrador del enrutador es necesaria para exponer la contraseña en texto sin formato.

Este es un mal diseño para cierto. Esto significa que el enrutador está almacenando la contraseña del ISP en forma reversible. Sin embargo, tiene que revertirlo para autenticarse en el ISP. El problema real es que no es necesario exponer.

Este problema también existe en equipos de red de nivel empresarial. En los firewalls de Cisco es posible exponer secretos compartidos de IPsec y otras credenciales simétricas / de contraseña similares ejecutando comandos que muestran los detalles de configuración de una CLI. Esto se hace en parte para admitir copias de seguridad de la configuración fácilmente recuperables.

Exponerlo en la interfaz de usuario no es necesario. Este es un ejemplo de una Vulnerabilidad de la exposición de datos confidenciales (OWASP Top 10 2013-A6) . Se considera que es difícil de explotar (ya debe ser administrador en el enrutador), pero de alto impacto. En este caso, es poco probable que el valor de las credenciales de autenticación de red del cliente ISP sea particularmente significativo. El ISP puede tener controles de compensación en su lugar y múltiples autenticaciones desde ubicaciones separadas serían una violación obvia que el ISP notaría.

No considero que esto sea una vulnerabilidad grave. Debería tratarse, pero no lo considero un programa que requiera la implementación de un enrutador diferente.

    
respondido por el Alain O'Dea 31.12.2015 - 21:27
fuente

Lea otras preguntas en las etiquetas

SSL: Android no puede verificar el nombre de host, definiendo suites de cifrado Directory Traversal: ¿Qué efecto tiene esto '?' y '.' tener en la url?