El pasado 31 de enero, el investigador de seguridad David Chen, del grupo 360 Enterprise Security hacía pública una vulnerabilidad que afecta a dispositivos D-Link DIR-823G, a sus versiones 1.02B03 y anteriores.

La vulnerabilidad permitiría a un atacante ejecutar comandos arbitrarios en el sistema operativo del dispositivo a través de peticiones a la ruta /HNAP1 especialmente manipuladas.

El fallo reside en una de las funciones SOAP ‘GetNetworkTomographyResult‘ que ejecuta parámetros de entrada que no están previamente saneados.

En concreto, el parámetro “Address”, representado por la variable ‘str2’ que se muestra en el fragmento de código anterior. Y la variable ‘str’, una cadena de carácteres formateada con el patrón “ping str2 -c %d -w %d -s %d > /tmp/ping.txt 2>>/tmp/ping.txt”. Por lo tanto, si podemos controlar el valor de ‘str2’, podremos ejecutar cualquier comando del dispositivo.

En la prueba de concepto publicada por David Chen se realiza una llamada a “SetNetworkTomographySettings” para establecer el valor del parámetro “Address” a “;ps”.

Posteriormente, el atacante realiza una llamada a “GetNetworkTomographyResult“, que resulta en una RCE ejecutando el comando “ps” indicado en el paso anterior.

Por seguridad no se ha publicado el exploit completo, ya que a día de hoy todavía no hay ningún parche para solucionar esta vulnerabilidad.