Ошибка авторизации домашний интернет роутер билайн

Обновлено: 21.11.2024

Настройки для разных городов. Удостоверьтесь, что в левом углу обзора правильно указан ваш город.

Рекомендованные модели

Мы гарантируем работу роутеров в сети билайн только с темами прошивок, которые размещены на нашем сайте:

Поддерживаемые модели

Мы гарантируем их работу в сети билайн только с темами прошивок, которые размещены на нашем сайте:

Данные модели маршрутизаторов не обнаруживают работу IPTV (интернет-телевидение), работают только с TVE (TV Everywhere).

Не присутствуют модели

Здесь вы найдете информацию об окружающей обстановке на площади.

Если у вас есть только маршрутизатор, подключите основной сетевой кабель (идущий из подъезда) к порту WAN (Интернет, 0) и подключите общий сетевой кабель (патч-кордом) к любому порту LAN маршрутизатора и компьютеру.

Если у вас есть и подключается (свитч), то основной сетевой (идущий из подъезда кабель) подключается в любой из портов еще подключается, соединяется патч-кордом одним портом WAN (Internet, 0) маршрутизатора и свитч, а других - любой порт LAN роутера и компьютера.

Перед настройкой компьютера необходим протокол настройки по умолчанию. Для этого найдите на задней панели маршрутизатора утопленную в корпусе кнопку Сброс и нажмите ее на 30 секунд зубной очисткой, спичкой или скрепкой. Дождитесь загрузки устройства (3-5 минут), приступайте к установке.

Отображается информация, что авторизация была успешно пройдена и для установки соединения необходимо зарегистрировать за 10 минут.

• Включение беспроводной сети - включена / enable;
• Имя беспроводной сети / SSID - придумать название беспроводной сети, к которому в будущем придет развитие
• Беспроводной режим - 802.11 B/G/N или 802.11 AC/A/N
• Тип проверки подлинности / Тип аутентификации - WPA2 / WPA2-Personal;
• Уровень безопасности / ПСК/ЭАП – ПСК
• Тип шифрования данных/Тип шифрования – TKIP
• Пароль / Пароль / Ключ / Парольная фраза - придумать пароль, который затем необходимо указать при беспроводном подключении к маршрутизатору (рекомендуем вам пароль типа 0891234567, чтобы вы всегда помнили свой номер лицевого счета/логин).

Подключение и эксплуатация роутера

Советы по игре Wi-Fi роутера

Данные модели маршрутизаторов не обнаруживают работу IPTV (интернет-телевидение), работают только с TVE (TV Everywhere).

Не присутствуют модели

Здесь вы найдете информацию об окружающей обстановке на площади.

Если у вас есть только маршрутизатор, подключите основной сетевой кабель (идущий из подъезда) к порту WAN (Интернет, 0) и подключите общий сетевой кабель (патч-кордом) к любому порту LAN маршрутизатора и компьютеру.

Если у вас есть и подключается (свитч), то основной сетевой (идущий из подъезда кабель) подключается в любой из портов еще подключается, соединяется патч-кордом одним портом WAN (Internet, 0) маршрутизатора и свитч, а других - любой порт LAN роутера и компьютера.

Перед настройкой компьютера необходим протокол настройки по умолчанию. Для этого найдите на задней панели маршрутизатора утопленную в корпусе кнопку Сброс и нажмите ее на 30 секунд зубной очисткой, спичкой или скрепкой. Дождитесь загрузки устройства (3-5 минут), приступайте к установке.

Отображается информация, что авторизация была успешно пройдена и для установки соединения необходимо зарегистрировать за 10 минут.

\n
• Включение беспроводной сети - включена/разрешить; \n
• Имя беспроводной сети / SSID - придумать название беспроводной сети, к которому в будущем придет появление\n
• Беспроводной режим - 802.11 B/G/N или 802.11 AC/A/N \n
• Тип проверки подлинности / Тип аутентификации - WPA2 / WPA2-Personal; \n
• Уровень безопасности / PSK/EAP – PSK\n
• Тип шифрования данных/Тип шифрования – TKIP\n
• Пароль / Пароль / Ключ / Парольная фраза - придумать пароль, который затем необходимо указать при беспроводном подключении к маршрутизатору (рекомендуем вам пароль типа 0891234567, чтобы вы всегда помнили свой номер лицевого счета/логин).

Подключение и эксплуатация роутера

Советы по игре Wi-Fi роутера

ONT Huawei высокое качество услуг интернета, передачи голоса и видео высокой четкости.">,"сравнить":,,,,,,,,,,,,,,,,,,]>,"документация":<" docLinks":[<"text":"Инструкция по подключению роутера Huawei","url":"http://static.beeline.ru/upload/images/fttb/routers/29476_Huawei_instruction.pdf","fileInfo":<"type":"PDF","size":"1,12 МБ">>]>>>>,"moreTitle":"Подробнее","descriptionText":"Роутер доступен в рассрочку за 150 руб./мес. на 2,5 года с возможностью выкупа без комиссии или включения в тариф.","routerMoreDescription":"Реальная скорость до 1 Гбита не по проводу в квартире, а при одновременном доступе к интернету до 19 устройств компьютеру компьютеру нового поколения билайн Smart Box Turbo+ . Четыре всенаправленные встроенные антенны и выделенный диапазон Частоты Wi-Fi снизят влияние сетей соседей и обеспечат хороший прием в любой обстановке 5-комнатной квартиры или частного дома.

билайн — интернет-провайдер, который занимается самым быстрым беспроводным интернетом.

—\tВам перезвонят в течение 20 минут с 9:00 до 22:00 по московскому времени.

—\tОператор подберёт удобный и выгодный тариф и расскажет, как работает та или иная услуга.

—\tВместе вы согласуете удобное время посещения специалиста — интервал до двух часов с 10:00 до 21:00 ежедневно.

— Наш специалист позвонит вам за час до поездки.

— Привезёт всё необходимое и запасное оборудование.

— Аккуратно подключен Домашний интернет.

— Передал экземпляр вашего договора и попросил написать наш.

Выезд специалиста, подключение и настройка оборудования — бесплатно.

После того как вам подключили Домашний интернет:

—\tспециалист настроит маршрутизатор и дополнительные устройства;

—\tвыдаст логин и пароль для Домашнего интернета;

Он не уезжает, пока у вас не работает быстрый Домашний интернет.

Оплата услуг провайдера за подключение Домашнего интернета может осуществляться множеством способов:

—\tсо счёта мобильного телефона;

—\тв офисах продаж и обслуживания билайн;

—\через терминалы или банкоматы.

В личном кабинете вы можете отменить тариф и подключить услуги, которые расширят возможности и упростят жизнь:

—\t увеличить скорость беспроводного интернета;

—\tполучить готовый IP-адрес и многое другое.

Мы добавили полезные опции, чтобы Домашний интернет стал ещё функциональнее и удобнее.

Подключите кабель маршрутизатора к ноутбуку или компьютеру. В качестве альтернативы используйте свою беспроводную сеть.

Рекомендация - При настройке роутера Билайн лучше всего использовать проводное соединение. Это позволяет избежать риска внезапного выхода из системы при сохранении изменений.

Помощь роутерам Билайн

Если вы не можете войти в свой маршрутизатор, вероятно, вы вводите неправильное имя пользователя или пароль. Не забудьте записать оба значения после их изменения.

• Забыли пароль для входа? Попробуйте жестко сбросить логин роутера. Для этого нажмите и удерживайте маленькую черную кнопку на задней панели маршрутизатора около 10 секунд. Это вернет маршрутизатор к заводским настройкам.
• Страница входа в маршрутизатор не загружается? Если страница входа не загружается, убедитесь, что используемое вами устройство подключено к сети Wi-Fi. Вам также необходимо проверить, установлен ли неверный IP-адрес маршрутизатора в качестве адреса по умолчанию.
• Иногда страницы могут иметь проблемы с загрузкой или скоростью. В этом случае ваша сеть, вероятно, использует другой IP-адрес. В этом случае обратитесь к нашему списку маршрутизаторов IP-адресов и найдите правильный адрес. Если вам нужна помощь, ознакомьтесь с нашим руководством о том, как узнать IP-адрес вашего маршрутизатора.

Часто задаваемые вопросы о брендах

<р>1. Какой логин и пароль у роутеров Билайн?

Большинство роутеров Beeline имеют имя пользователя по умолчанию admin и пароль по умолчанию admin

<р>2. Какой пароль по умолчанию у роутера Билайн?

Большинство роутеров Билайн по умолчанию имеют пароль admin

<р>3. Какой IP по умолчанию у роутера Билайн?

Большинство роутеров Билайн используют 192.168.1.1 в качестве IP-адреса по умолчанию

<р>4. Как войти в роутер Билайн?

Сначала введите IP-адрес маршрутизатора в адресной строке браузера, затем введите имя пользователя и пароль маршрутизатора, а затем нажмите OK или ВХОД.
Выше приведены наиболее вероятные учетные данные по умолчанию.

<р>5. Как устранить неисправность роутера Билайн?

Сначала проверьте, подключен ли кабель WAN к правильному порту маршрутизатора, помеченному как «WAN». Затем проверьте, подключены ли вы с помощью сети Wi-Fi или кабеля локальной сети, подключенного к порту маршрутизатора с маркировкой LAN.

<р>6. Как сбросить пароль на вход в роутер Билайн?

Сброс пароля администратора большинства роутеров Beeline прост и требует нажатия кнопки сброса, расположенной на самом роутере, в течение 5-10 секунд.

В ходе исследовательского проекта, посвященного конкретному кабельному модему, мы обнаружили, что в системе используется конструкция с двумя однокристальными системами. На основной SoC работала система Linux, а на второй SoC — выделенном наборе микросхем Realtek RTL819xD, реализующем все функции точки доступа, — другая, урезанная система Linux от Realtek.

Чипсеты Realtek используются во многих встроенных устройствах в сфере Интернета вещей. SoC RTL8xxx, которые обеспечивают беспроводные возможности, очень распространены. Поэтому мы решили потратить время на идентификацию двоичных файлов, работающих на RTL819xD на нашем целевом устройстве, которые предоставляют услуги по сети и предоставляются самой Realtek. Такие двоичные файлы входят в состав Realtek SDK, разработанного Realtek и предоставляемого поставщикам и производителям, использующим SoC RTL8xxx.

Используя эти уязвимости, удаленные злоумышленники, не прошедшие проверку подлинности, могут полностью скомпрометировать целевое устройство и выполнить произвольный код с наивысшим уровнем привилегий.

Мы выявили не менее 65 различных затронутых поставщиков с почти 200 уникальными отпечатками пальцев благодаря возможностям сканирования Shodan и некоторым неправильным настройкам поставщиков и производителей, которые предоставляют эти устройства для доступа в Интернет. Затронутые устройства реализуют возможности беспроводной связи и охватывают широкий спектр вариантов использования: от домашних шлюзов, туристических маршрутизаторов, повторителей Wi-Fi, IP-камер до интеллектуальных шлюзов Lightning и даже игрушек с подключением.

Ключевые выводы

Поскольку среди экспертов по безопасности растет осведомленность о прозрачности цепочки поставок, этот пример является довольно хорошей демонстрацией обширных последствий малоизвестной цепочки поставок IoT. В отличие от недавних атак на цепочку поставок, таких как Kaseya или Solar Winds, когда злоумышленники шли на многое, чтобы проникнуть в процессы выпуска релизов поставщика и разместить скрытые лазейки в обновлениях продуктов, этот пример гораздо менее изощренный и, вероятно, гораздо более распространенный, для трех простых причины:

1. Со стороны поставщика недостаточные методы безопасной разработки программного обеспечения, в частности отсутствие тестирования безопасности и проверки кода, привели к тому, что десятки критических проблем безопасности оставались нетронутыми в кодовой базе Realtek более десяти лет (от ветки 2.x до « Jungle" SDK в "Luna" SDK).
2. Со стороны поставщиков продуктов мы видим производителей, имеющих доступ к исходному коду Realtek (требование для создания двоичных файлов Realtek SDK для своей собственной платформы), которые не смогли достаточно проверить свою цепочку поставок, оставили проблемы незамеченными и распространили уязвимости среди сотни тысяч конечных клиентов, что делает их уязвимыми для атак.
3. Однако проблемы с цепочками поставок могут возникнуть и выше по течению. В ходе нашего исследования мы обнаружили, что исследователи безопасности и пен-тестеры ранее выявляли проблемы в устройствах, использующих Realtek SDK, но не связывали эти проблемы напрямую с Realtek. Поставщики, получившие отчеты об этих уязвимостях, исправили их в своих филиалах, но не уведомили Realtek, оставив незащищенными других.

Наша платформа анализа встроенного ПО IoT Inspector может помочь в обнаружении таких важных проблем в цепочке поставок. Он автоматически определяет, основана ли прошивка на уязвимом SDK Realtek, а также его конкретную версию. Он также может обнаруживать каждую уязвимость, о которой мы сообщали, а также то, было ли применено предоставленное исправление.

Пожалуйста, продолжайте читать, чтобы узнать все подробности нашего исследовательского процесса.

Уязвимости UPnP (mini_upnpd, wscd)

Обзор

Realtek отказалась от своей предыдущей службы UPnP miniigd в ответ на CVE-2014-8361. Впоследствии они предоставили исходный код для создания двух двоичных файлов с разными функциями в рамках своего SDK:

Вбросив в Google нужные ключевые слова, мы смогли получить доступ к исходному коду на Github. Это помогло ускорить идентификацию уязвимости, но мы уверены, что опытные реверс-инженеры придут к таким же выводам, учитывая, что некоторые двоичные файлы в нашем наборе образцов поставлялись с отладочными символами. Чтобы проиллюстрировать уязвимости, мы прокомментировали соответствующие разделы исходного кода.

Переполнение буфера стека из-за заголовка обратного вызова UPnP SUBSCRIBE

Несколько слов о подписке UPnP

Любая служба UPnP должна предоставлять список устройств, которыми она управляет, а также список служб, подключенных к этим устройствам. В приведенном ниже примере, взятом из документации gupnp (Writing a UPnP Service: GUPnP Reference Manual), мы видим виртуальное световое устройство с подключенной к нему службой переключения питания.

В строке 19 мы видим элемент eventSubURL, связанный с функцией UPnP: уведомление о событии.

Чтобы подписаться на уведомление о событии для службы, подписчик должен отправить запрос с помощью метода SUBSCRIBE вместе с заполненными полями заголовка NT и CALLBACK на полный URL подписки на событие этой службы.

Запрос UPnP SUBSCRIB E обычно выглядит следующим образом:

При возникновении событий служба UPnP уведомляет подписчика, отправляя запрос NOTIFY на предоставленный URL-адрес CALLBACK. В нашем примере событием может быть включение или выключение виртуального света другим клиентом UPnP.

Теперь, когда у вас есть некоторые сведения об уведомлениях о событиях UPnP и подписках, давайте рассмотрим реализацию Realtek SDK.

Функция GetIPandPortandCallback представлена ​​ниже, чтобы вы могли попытаться найти уязвимость самостоятельно. Мы предоставляем подробное объяснение ниже.

Код синтаксического анализа GetIPandPortandCallBack неверен на многих уровнях, но давайте сосредоточимся на том, почему он уязвим:

он ​​проверяет, начинается ли обратный вызов с ", и в противном случае переходит со строки 12 на строку 21.

Со строк с 26 по 67 начинается фактическое извлечение IP-адреса и номера порта:

он ​​будет продвигаться в буфере до тех пор, пока не будет найдено ‘:’ или ‘/’, каждый раз, когда встречается ‘.’, счетчик увеличивается

при совпадении ‘:’ или ‘/’ проверяется, есть ли 3 точки (сильная проверка для IPv4, верно?)

если найден символ ‘/’, по умолчанию используется номер порта 80

если столкновение с символом ‘:’, чтение буфера продолжается до тех пор, пока не встретится символ ‘/’, и копирование буфера из ‘:’ в ‘/’ в буфер фиксированного размера с именем ‘port’

затем буфер порта передается atoi для получения целого числа

Уязвимость возникает в строке 58, где memcpy вызывается с длиной, которая может превышать размер буфера стека портов. Это связано с тем, что нет ограничений по размеру при определении раздела порта между символами «:» и «/» в обратном вызове.

Поэтому следующий запрос SUBSCRIBE вызовет переполнение:

Мы подтвердили это на нашем тестовом устройстве с помощью GDB. Как мы видим ниже, программный счетчик нашего процесса был перезаписан на «AAAA» (0x41414141):

Получение оболочки

Чтобы в полной мере продемонстрировать потенциал этой уязвимости, мы разработали быстрое доказательство концепции, позволяющее использовать обратную оболочку на целевом устройстве. Мы используем переполнение стека, используя технику ret2libc для запуска произвольной команды. Учитывая, что размер команды, которую мы можем запустить, ограничен 16 символами, мы просто запускаем демон UDPServer и используем внедрение команды, влияющее на эту службу, для запуска более длинной команды, которая извлекает полезную нагрузку нашей обратной оболочки по FTP и выполняет ее.

Переполнение буфера кучи из-за поля SSDP ST

Через SSDP можно отправлять сообщения двух типов:

M-SEARCH — отправляется клиентами, желающими найти доступные услуги в сети.

NOTIFY — отправляется серверами UPnP для уведомления об установлении или отзыве служебной информации группе многоадресной рассылки.

Обработка запросов SSDP осуществляется с помощью ProcessSSDPRequest , который анализирует только сообщения M-SEARCH и игнорирует сообщения NOTIFY.

Происхождение переполнения буфера кучи находится между строками 43 и 68, где обработчик SSDP сравнивает значение заголовка ST со своим внутренним списком открытых типов служб.

Защищенная реализация SSDP будет принимать только заголовок ST, который точно соответствует одному из открытых типов службы (например, upnp:rootdevice ). В этом случае сравнение производится с memcmp — но только до длины проверяемого в данный момент типа сервиса. Это означает, что мы можем пройти эту проверку, если хотя бы n байт предоставленного нами значения заголовка ST соответствуют типу службы (например, upnp:rootdevicewhateverfollows).

Затем в строке 57 функция вызывает SendSSDPAnnounce2, чтобы ответить на наш запрос M-SEARCH ответом NOTIFY, используя два входных данных, контролируемых пользователем: значение заголовка ST ( st ) и длину значения заголовка ST ( st_len ).

Переполнение происходит в SendSSDPAnnounce2 в строке 23 при вызове sprintf для помещения контролируемых пользователем данных в 512-байтовый буфер, выделенный в куче.

С помощью Scapy мы разработали следующую проверку концепции:

Мы подтвердили это на нашем тестовом устройстве с помощью GDB. Как мы видим ниже, счетчик программ нашего процесса сбился из-за наличия недопустимых значений в куче:

Эксплуатация кучи всегда сложнее, но двоичный файл предоставляет достойные примитивы для выполнения кучи. Если мы хотим написать полный PoC, нам нужно посмотреть, какие структуры выделяются в куче во время выполнения.

Уязвимости интерфейса веб-управления (сети, удавы)

Обзор

У Realtek есть две разные версии стандартного бинарного файла веб-интерфейса управления: одна — GoAhead-webs ( /bin/webs ), другая — Boa ( /bin/boa ).

На каждом сервере реализованы одни и те же функции с одинаковыми уязвимостями (внедрение команд, переполнения). Единственное отличие состоит в том, что разработчики Realtek используют разные API для реализации своих функций (например, websGetVar для получения параметра запроса в GoAhead-webs и req_get_cstream_var в Boa).

В состоянии по умолчанию интерфейс выглядит примерно так:

Веб-интерфейс Realtek SDK

Большинство поставщиков и производителей используют один из этих двоичных файлов веб-управления, но изменяют внешний вид пользовательского интерфейса, чтобы он отражал их бренд. В ходе нашего исследования было обнаружено, что некоторые из них также удаляют и/или вставляют пользовательские функции. Очевидным примером этого является интерфейс, обнаруженный на игрушечном танке IoT, проанализированный Pentest Partners:

Веб-интерфейс Realtek SDK на ESSON

Предупреждения

Веб-сервер уязвим для повторной привязки DNS и не реализует какую-либо защиту от CSRF. Это означает, что его можно использовать через Интернет, заставив жертву открыть веб-страницу, контролируемую злоумышленником, и угадать внутренний IP-адрес, на котором работает служба.

Двоичный файл реализует небольшую функцию проверки подлинности с помощью базы данных пользователей, сохраненной в файле .dat или .txt в зависимости от двоичного файла (webs или boa). Если поставщик явно не удалил в коде/конфигурации, существует учетная запись пользователя по умолчанию ( supervisor/supervisor ).

Возможность использования выявленных проблем зависит от действий конечного поставщика/производителя с веб-сервером Realtek SDK. Некоторые поставщики используют его как есть, другие добавляют свою собственную реализацию аутентификации, некоторые сохраняют все функции сервера, некоторые удаляют некоторые из них, третьи добавляют собственный набор функций.

Однако, учитывая, что реализация Realtek SDK полна небезопасных вызовов и что (из того, что мы видели до сих пор) разработчики склонны повторно использовать эти примеры в своем пользовательском коде, любой двоичный файл, основанный на веб-сервере Realtek SDK, вероятно, будет содержат свой собственный набор проблем поверх проблем Realtek (если они сохранены).

Прекрасным примером этого является реализация веб-сервера Edimax, которая сохранила уязвимости из обработчиков CGI Realtek SDK по умолчанию (например, переполнение буфера через параметр submit-url), но также скопировала этот точный код в свои собственные обработчики CGI (см. домашних устройств Edimax — Embedded Lab Vienna для Интернета вещей и безопасности).

Переполнение буфера стека через параметр запроса submit-url formRebootCheck

Переполнение буфера присутствует в formRebootCheck. Переполнение может быть вызвано отправкой слишком длинного параметра запроса submit-url:

lastUrl — это статический массив символов длиной 100 байт, хранящийся в разделе .data. Учитывая, что переменная выше GOT, мы можем воспользоваться этой уязвимостью, перезаписав запись GOT.

Простая демонстрация со значением submit-url длиной 3000 байт показана ниже:

Этот запрос снова вызовет segfault:

Переполнение буфера стека через параметр запроса formWsc submit-url

Аналогичная проблема присутствует в formWsc . Это переполнение также может быть вызвано отправкой слишком длинного параметра запроса submit-url:

Опять же, lastUrl — это статический массив символов длиной 100 байт, хранящийся в разделе .data. Учитывая, что переменная выше GOT, мы также можем переполнить эту уязвимость, перезаписав запись GOT.

Простая демонстрация со значением submit-url длиной 3000 байт показана ниже:

Тем не менее, будет вызван еще один сегментный отказ:

Переполнение буфера стека из-за параметра запроса formWlSiteSurvey ifname

Форма formWlSiteSurvey выполняет небезопасное копирование из контролируемого пользователем буфера в переменную фиксированного размера. WLAN_IF — это статический массив символов длиной 100 байт, хранящийся в разделе .data.

Впоследствии это приведет к segfault, за которым последует полная перезагрузка:

Полная перезагрузка, вероятно, связана с ioctl, выполняемым веб-сервером, который отправляет структуру, содержащую содержимое IFNAME, драйверу ядра Realtek для получения статистики из беспроводного интерфейса.

Выполнение произвольной команды в formSysCmd

Форма formSysCmd представляет выполнение команды как функцию и обычно доступна через /goform/formSysCmd или /boafrm/formSysCmd в зависимости от используемого веб-сервера.

Можно возразить, что это скорее лазейка, чем уязвимая конечная точка, особенно когда поставщики склонны удалять представленную ниже HTML-страницу из своего интерфейса, но оставляют включенной конечную точку выполнения команд.

Форма Realtek SDK formSysCmd

Код формы предельно прост: получите команду через параметр запроса sysCmd, передайте ее в system() и верните результаты этой команды на следующей странице.

Эта «функция» — еще один отличный пример того, что возникает при распространении уязвимостей по цепочке поставок. Многие тестировщики обнаружили именно эту уязвимость в разных устройствах от разных производителей, но никогда не сообщали о ней в Realtek.

Внедрение команды через параметр запроса peerPin в formWsc

Форма formWsc уязвима для внедрения произвольных команд в нескольких местах. Все они связаны с контролируемым пользователем ПИН-кодом WPS, который передается системным командам без предварительной очистки.

Переполнение буфера стека через параметр запроса имени хоста formStaticDHCP

Форма formStaticDHCP уязвима для переполнения стека, когда контролируемое пользователем значение (параметр hostname) небезопасно копируется в переменную стека с помощью strcpy:

Переполнение буфера стека через параметр запроса submit-url formWlanMultipleAP

Форма formWlanMultipleAP уязвима для переполнения стека, когда контролируемое пользователем значение (параметр submit-url) небезопасно копируется в переменную стека с помощью sprintf :

Переполнение буфера стека из-за параметра запроса formWsc peerPin

Форма formWsc уязвима для переполнения стека, когда контролируемое пользователем значение ( параметр peerPin ) небезопасно копируется в переменную стека с помощью sprintf :

Двоичный файл просто выдаст ошибку сегментации:

Уязвимости UDP-сервера

Обзор

Следующая проблема с внедрением команд, обнаруженная в UDPServer, уже была обнаружена и описана в 2015 году Питером Адкинсом, но Mitre никогда не назначала CVE:

Один из наиболее «интересных» хуков, обнаруженных этими устройствами, позволяет запускать процесс UDPServer на устройстве при вызове. При запуске этот процесс прослушивает IP-адрес устройства в локальной сети для получения данных по UDP 9034.

К сожалению, этот процесс, по-видимому, не выполняет какую-либо очистку ввода перед передачей пользовательского ввода в вызов system(). Дальнейшее расследование показало, что источник для этой службы (UDPServer)
доступен в RealTek SDK и, по-видимому, является диагностическим инструментом.

В результате вышеизложенного этот процесс уязвим для ввод произвольной команды.

Изучив последние образцы затронутого двоичного файла, мы обнаружили, что Realtek выпустила неполное исправление именно для этой проблемы. Мы также обнаружили несколько случаев переполнения буфера.

Предостережение

Некоторые устройства автоматически запускают UDPServer из своего сценария инициализации, некоторые выполняют его, когда вызывается определенная функция в их собственном коде (запрос веб-сервера, запрос к пользовательскому сетевому демону и т. д.), некоторые никогда не запускают его, а UDPServer просто остается как артефакт.

Для каждого идентифицированного образа микропрограммы с двоичным файлом UDPserver требуется ручной анализ, чтобы подтвердить, открыта ли служба по умолчанию или ее можно запустить.

Внедрение команд по протоколу UDPServer

Глядя на проверку концепции и текущий код, кажется, что Realtek пыталась исправить проблемы, о которых сообщалось в 2015 году. В 2015 году отправка \`telnetd -l /bin/sh\` в качестве полезной нагрузки UDP инициировал внедрение команды.

Наша интерпретация заключается в том, что Realtek пыталась исправить это, используя следующую конструкцию, которую мы видим в двоичном файле:

6 вызовов system() выполняются с пользовательским вводом. Каждый вызов имеет ту же структуру, что и ниже:

Статическое переполнение буфера через протокол UDPServer

Помимо внедрения команд, сервер уязвим к переполнению буфера из-за небезопасных вызовов sprintf (комментарии добавлены в качестве пояснения):

Эксплуатация не будет простой, учитывая, что переполненный буфер будет расположен в разделе .data (статическое объявление).

Присутствуют 3 других переполнения:

Выявление затронутых поставщиков

Для выявления устройств, затронутых уязвимостями, обнаруженными в службе UPnP/SSDP, мы можем положиться на Shodan.

После некоторых исследований мы пришли к выводу, что Shodan делает следующее:

Название модели, номер и описание представлены Shodan как аспект «продукта». Зная это, мы можем получить информацию обо всех производителях и названиях моделей, предоставляющих услуги SSDP/UPnP через Интернет, основанные на уязвимом SDK Realtek.

Мы получили 198 уникальных отпечатков пальцев для устройств, ответивших по UPnP. Если мы оценим, что каждое устройство может быть продано тиражом 5 000 копий (в среднем), общее количество затронутых устройств приблизится к миллиону.

Список затронутых устройств, которые нам удалось идентифицировать, можно найти в приложении.

Системные индикаторы Realtek

Если вы оцениваете встроенное устройство, это признаки того, что система использует SDK Realtek.

Простым индикатором является файл /etc/motd, в котором упоминается rlx-linux:

Имя хоста обычно устанавливается как rlx-linux в сценарии инициализации:

Еще один — /etc/version , который присутствует не всегда:

rlx-linux — это урезанная система Linux от Realtek, созданная специально для чипсетов RTL.

Читайте также:

  
• Гермобокс для наружной установки роутера
  
• Dir 300 Wi-Fi не работает
  
• Настройка роутера d link dir 320 билайн
  
• Как восстановить заводские настройки роутера netis
  
• Настройка стартового роутера Keenetic