O pesquisador de segurança Derek Abdine publicou um alerta sobre vulnerabilidades que existem no servidor web muhttpd licenciado pelo MIT (Massachusetts Institute of Technology) e possibilitam ataques de passagem de caminho. Um ataque de passagem de caminho visa acessar arquivos e diretórios armazenados fora da pasta raiz da web e, às vezes, são chamados de ataques ponto-ponto-barra (../), pois manipulam variáveis que fazem referência a arquivos com sequências ponto-ponto-barra e variações delas para acessar arquivos e diretórios de forma arbitrária.
O muhttpd (mu HTTP deamon) é um servidor web escrito em ANSI C portável, simples e seguro, e está presente no firmware de vários modelos de roteadores da marca Arris. Os provedores de acesso à internet (ISP) geralmente usam esse servidor web e os assinantes do ISP normalmente obtêm roteadores para acesso à internet que utilizam esse servidor.
A versão 1.1.5 — a última oficial, de 2010 — do servidor muhttpd tem uma vulnerabilidade de passagem de caminho. A versão mais recente é a 1.1.7, lançada em 1º de junho deste ano. Mas o firmware Arris é baseado na versão vulnerável do muhttpd.
As falhas de segurança de divulgadas publicamente são listadas no banco de dados das vulnerabilidades e exposições comuns (CVEs) com objetivo é facilitar o compartilhamento de dados entre recursos de falhas separados (ferramentas, bancos de dados e serviços).
Derek Abdine encontrou várias vulnerabilidades, uma das quais é a CVE-2022-31793. Ela é um bug na raiz do sistema de arquivos que possibilita ataques de passagem de caminho. A simples adição de um único caractere que não seja um ponto (.), barra (/) ou ponto de interrogação (?) antes do caminho solicitado é suficiente para obter qualquer arquivo regular no dispositivo. Essa vulnerabilidade permite que um invasor remoto não autenticado (nos casos em que a administração remota esteja habilitada) ou qualquer parte da rede local (LAN) obtenha o conteúdo das senhas md5crypt (salted/hashed) em ‘/ etc / passwd ‘, o SSID e a senha de texto simples das redes Wi-Fi 2G e 5G transmitidas pelo dispositivo.
Além disso, o invasor pode obter os nomes de usuários e senhas — às vezes criptografadas — de todas as contas de administração do sistema, informações de configuração, incluindo o protocolo TR-069 em uso por um ISP, nomes de usuário (números de telefone) e senhas do Session Initiation Protocol (SIP), incluindo URLs de endpoint SIP e várias outras informações de rede confidenciais, como conexões TCP estabelecidas, bem como vários logs de sistema e firewall, lista completa do endereço IP da LAN, nome do host, MAC, etc.
Veja isso
Malware Cyclops Blink infecta roteadores da Asus
CISA diz que falhas em roteador Cisco vêm sendo exploradas
O servidor muhttpd afetado é usado em roteadores Arris (NVG) baseados em fibra e DSL, bem como em produtos whitelabel/OEM de outros fornecedores. Os ISPs em todo o mundo normalmente consignam esses roteadores para seus milhões de assinantes.
Os modelos de roteador Arris que foram considerados vulneráveis são NVG443, NVG599, NVG589, NVG510, bem como as versões personalizadas para ISP, como o BGW210 e BGW320. Já os roteadores Arris SBR-AC1900P 1.0.7-B05, SBR-AC3200P 1.0.7-B05 e SBR-AC1200P 1.0.5-B05 são vulneráveis a outra vulnerabilidade listada como CVE-2022-26992, que permite que invasores executem comandos por meio de uma solicitação criada.
Pesquisas na internet revelaram 19 mil roteadores estão vulneráveis conectados diretamente à internet. Os proprietários foram informados e a maioria dos dispositivos já foram corrigidos. Tanto o roteador Arris quanto o servidor muhttpd tiveram patches de atualização lançados, mas como o firmware é disseminado e cada ISP gerencia suas próprias atualizações de firmware de forma independente, é provável que esse problema persista por anos.
Até o momento não há relatos de que essas vulnerabilidades venham sendo usadas para ataques, mas agora que são conhecidas e o código de prova de conceito está disponível, pode ser apenas uma questão de tempo até que um ataque seja realizado.
