Los puntos de acceso inalámbricos de WatchGuard implementan un sistema de seguridad UTM (del inglés 'Unified Threat Management' o 'Gestión Unificada de Amenazas') que incluye control de aplicaciones, prevención de intrusiones, filtrado de URL y contenido web, bloqueo de virus y correo no deseado, entre otras características, desde el firewall WatchGuard hasta la WLAN. Son utilizados en empresas, comercios y aulas de clases, entre otros, para permitir la conexión de dispositivos móviles a la red inalámbrica, tanto en el interior como en el exterior, sin poner en riesgo los activos de la red.

Se han descubierto varias vulnerabilidades en los puntos de acceso inalámbricos de WatchGuard que podrían desembocar en la ejecución remota de código.

Los fallos de seguridad son los siguientes:

* CVE-2018-10575: existen credenciales incrustados en el fichero '/etc/passwd' (no se especifica el hash ni la contraseña a petición del fabricante). Un atacante que conozca esta contraseña podría acceder al dispositivo a través de SSH y realizar solicitudes de red a través del dispositivo (aunque no permitiría ejecutar comandos ya que la shell está configurado en '/bin/false').

* CVE-2018-10576: existe un método oculto de autenticación en la interfaz web a través de las cabeceras HTTP 'AUTH_USER' y 'AUTH_PASS' que podría permitir eludir restricciones de seguridad utilizando las credenciales obtenidas con la vulnerabilidad anterior y obtener acceso como administrador.

PoC para CVE-2018-10576

* CVE-2018-10577: existe una funcionalidad oculta 'wgupload' a través de la interfaz web que podría permitir la subida de archivos de forma remota a la raíz y ejecutar código. Para ello es necesario únicamente un número de serie (que es mostrado al usuario cuando inicia sesión en el dispositivo a través de la interfaz web estándar y que se puede recuperar mediante programación) y una sesión válida.

Se propone la siguiente prueba de concepto:

PoC para CVE-2018-10577

Al visitar la URL http://<DIRECCION_IP>/cgi-bin/payload.luci se ejecutaría el comando anterior (o cualquier otro comando especificado).

* CVE-2018-10578: un error en la implementación de la validación de la contraseña anterior en la funcionalidad de cambio de contraseña podría permitir establecer nuevos credenciales. Dicha validación se realiza a través de AJAX, por lo que un atacante podría simplemente modificar el código JavaScript para evitar esta comprobación o realizar la solicitud POST de forma manual para establecer una nueva contraseña de acceso al dispositivo.

Los puntos de acceso WatchGuard AP100, AP102 y AP200 con firmware anterior a la versión v1.2.9.15 se encuentran afectados por todas las vulnerabilidades anteriores. Lo modelos WatchGuard AP300 con firmware anterior a la v2.0.0.10 se encuentran afectados por los tres últimos problemas de seguridad.

Todos estos fallos fueron descubiertos por ZX Security y reportados al fabricante a principios de Abril de este mismo año y desde mediados de dicho mes existen actualizaciones de firmware que solventan todos los problemas analizados. Las vulnerabilidades no se han hecho públicas hasta el momento para conceder una ventana temporal para que los usuarios puedan actualizar los dispositivos afectados.

ZX Security lanzará un módulo para la suit Metasploit que automatizará la explotación de las anteriores vulnerabilidades, y revelará la información omitida, una vez se cumplan 30 días desde la publicación de los parches de seguridad.