Backdoor permanente presente en millones de routers con chip Realtek

kcdtv · 26-04-2015 21:30:46

Una puerta trasera permanente con privilegios de administradors afecta a millones de routers con chipset Realtek

En este tema ( "Hydra y Hydra-GTK : las potentes herramientas de código libre para ataques de contraseñas con conexión") del 18 de febrero 2015 puse el dedo en algo muy "perturbador" :
Mi router Alfa Network tiene una puerta trasera con credenciales super:super sad

kcdtv escribió:

hydra -L usuarios.txt -P contraseñas.txt http://192.168.7.1 -F -v
Cosas del directo : acabo de "crackear" mi router con mi "super"lista hecha en dos segundos... y no de la manera esperada
Upsss.... es muy fuerte.... acabo de dar con una "super" puerta trasera de mierda
Si quería ilustrar la utilidad de hydra no hubiera encontrado algo mejor.
Si quito el argumento -F (que hace que hydra sigue el attaque aunque haya encontrado un combo bueno) obtengo los dos combos : el usuario y la contraseña que he configurado para la prueba y otro usuario "super" y "super",
Una verdadera puerta trasera encontrada en menos de 30 segundos ... gracias a hydra
Hablare mas en detalles de esta puerta trasera en otro tema (y a ver si no hay más...). De momento seguimos con hydra que se merece el protagonismo en su tema

Para "hacer las cosas bien"; me puse en contacto con Alfa Network para comunicarles este falló de seguridad muy grave.
Me respondieron después un par de mensajes y me hicieron probar un nuevo firmware, aún no publicado.
Pero la brecha persistía.
Al final parraron de responderme y lancé un "ultimátum" : iba a publicar la brecha si o si.
Me respondieron de nuevo preguntándome si el hecho de quitar el protocolo telnet (habilitado por defecto y no configurable) me parecía suficiente.
Respondí que "obviamente no" y no he tenido más respuesta.

Así que iba a publicar el fallo en packet storm y en otros sitios del palo cuando me di cuenta que el fallo ya ha sido desvelado el 22 de febrero en la "International Conference on Cyber Security and Cyber Law 2015" que tuvo lugar en Katmandú (Nepal)

Los créditos para este "fulldisclosure" van entonces a Nabin kc y Bijay Limbu Senihng

En este vídeo de Nabin kc podemos ver una forma de explotar esta brecha concretamente

el ful disloure "Rogue Router Firmware Chaos #Backdoor"

Miremos un momento lo que nos enseñan en este fulldisclosure los dos compadres y luego añadiré información complementaría que he podido obtener de mi lado wink

Primero podemos ver el código de la puerta trasera :
Y vemos claramente que el routeur tiene dos cuentas con privilegios de administrador o "superusuario",
Una cuenta que podremos configurar en la interfaz de configuración (la de admin) y otra no.(la primera de "superusuario" super:super )
La "buena noticia" es que no hay otras cuentas escondidas y no configurables ("hard coded").

No se en que punto de acceso hicieron sus primeros pruebas, la cosa es que esta backdoor esta presente en varios puntos de acceso y que los dos profesionales pudieron probar y encontrar las brechas en varios modelos fabricados por una decena de fabricantes.

During our research, we tried to find the similar security issues in another model. And surprisingly what we found was that the same firmware have been implemented by the other routers vendors, too. More than 10 major router vendors have been using this same backdoor affected firmware.

Esta es la lista de modelos afectados por esta puertas trasera :

Digicom : DAPR 150RN - DAPR 300RN
Alfa Network : AIP-W525H - AWAP806N
Pro-Link : PRN3001 - WNR1008
Planet Networks : WNRT-300G
TrendNet : TEW-638APB - TEW-639GR - TWE-736RE
Realtek : RTL8181 - RTL8186 - RTL8186P
Bless : Zio-3300N - Zio-4400N - Zio-3200N - Zio-3300N
SmartGate : SG3300N - SG3100N
Blue Link : BL-R30G

Y algunas capturas de pantalla de las interfaces incriminadas :

En su conclusión evalúan a medio millón el numero de routers afectados :

So after three months of extensive research, we found out that more 200,000 home routers(online) have been affected by this same router firmware all over the world. So from this calculation we can say approximately half a million devices(combining offline and online) are affected.

Con lo que sigue (que es lo que he averiguado de mi lado) verán que son mucho más: tongue

un problema aún mayor

Lo que he podido averiguar por mi lado son tres cosas que agravan sensiblemente su evaluación de la situación

La raíz del problema
Que no se podrá resolver con una actualización de firmware
Que la evaluación que hacen es muy es por debajo de la realidad (mas routers afectados y no solo de "marcas de segunda")

1) La verdadera raíz del problema : el RTL819X project

¿Conocéis al "RTL819X project"?
....El nombre parece sacado de una película de espionaje o de ciencia ficción . lol
Se trata de un proyecto interesante ( a la base )
La meta es distribuir una base de firmware de código libre para todos los chipset de la familia rtl819x.
Los fabricantes pueden así construir a parte de esta base su propios firmwares muy fácilmente (esto explica porque parecen todos iguales en la galería de fotos big_smile )
El proyecto di la luz a la SDK (kit de desarrolló) Realtek que se emplea entonces para hacer los firmwares que son vulnerables.

2) La actualización de firmware no permite arreglar el falló

No es ni la primera ni la utlima backdoor que se encuentra
Estas cosas pueden pasar.
Una vez que el fabricante esta informado se libera una nueva versión del frimware que corrige el falló; y se acaba el asunto
Los de alfa intentaron arreglar la brecha
Pero no hay patche ni maniobras posibles para borrar o permitir retocar esta cuenta escondida en lo más profundo del núcleo de base.

Por los que no entienden ingles es muy simple : después de probar el nuevo firmware en preparación que me dieron por probar me doy cuenta que no han arreglado la brecha y respondo.
A este momento el técnico tira la pelota en el campo de Realteck y pasa el marrón a su jefe (PM)
Con quien he intercambiado un par de mensajes más para llegar a la conclusión que el problema no podía ser salvado con una actualización del firmware (lo del telnet si, lo de la cuenta escondida no)
En resumen : por bien que los fabricantes tomen en cuenta y intenaen algo; el mal esta hecho ya.
Si han usado la SDK Realteck tienen el falló y no lo pueden arreglar. (y si han elegido este chipset es para minimizar los costes y no para aumentar los teniendo que hacer desde cero un firmware )

3) Una evaluación del numero de modelos afectados bien por debajo de la realidad

Los dos informáticos hablan de medio millón de modelos afectados.
Se confuden porque no han tomado en cuenta que todos los dispositivos con un chipset realteck son muy sospechables.
Hablan de fabricantes pocos conocidos y pocos difundidos ( no tengo tan claro que digibus o alfa network no sean un pcoo mas difundidos de lo que evalúan)
¿Conocen a totolink?
Probablemente no,
Pero no es el caso en Asia del sur este
Totolink (marca comercial de zoincom) es le primer fabricante de puntos de acceso en corea del sur (60 millones de habitantes con el mejor Internet en el mundo cool ) y esta muy presente en le mercado asiático, incluso chino.
Los de Totolink destacan por producir productos muy bien acabados con un muy buen nivel de prestaciones a unos precios muy competitivos.
Son muy buenos desde tiempo en la implementación gestión de los MIMO con más de 3 antenas
Es de los pocos fabricantes que garantizan sus productos tres años.
Y uno de sus secretos para proponer precios muy competitivos es justamente usar chipset Realtek (cf Review: TOTOLINK A2004NS – World’s Cheapest AC1200 Gigabit Router )

Y justamente, tengo en mi posición desde 2012 un punto de acceso Totolink
Menos moderno (b/g/n y de dos antenas) , también con su chipset Realtek rt819x (rt8192 en este caso)
Se trata de uno de los productos mas vendidos de totolink: el N301xx (en mi caso es N301RT, creo que ahora se lama N301RU)
Un PA repetidor wifi para menos de 30€ con buena sensibilidad y buena potencia.... entrada de gama, barato, bonito.

Su acceso esta "protegido" con mis credenciales kcdtv:wifi-libre :

Al final esta abierto a los cuatros vientos : un simple petición http hacía la puerta de enlace con data POST y credenciales "super:super" me permite burlar de inmediato la protección y acceder a la configuración del router con privilegios completos

Así que podemos afirmar que no hablamos de cienes de miles de modelos afectados como sugerido en el ful dislosure....
Sino de millones de modelos afectados y esto solo con los productos Totolink.

Una brecha muy severa y irrecuperable.

Con un solo remedio conocido : Debemos, si es posible, quitar cualquier firmware Realtek y reemplazarlo por open-wrt o dd-wrt.

Hablando de España - voy a averiguar esto - me parece que los tecom de telefónica con inicio de mac 00:19:15 usan esta SDK.
Y hay unos cuentos modelos de OnO con chipset Realtek pero los desconozco.
Si estoy en el cierto abriré un tema aparte para hacer el punto sobre las consecuencias en España de este fallo.

El_P3dr0 · 26-04-2015 21:41:42

pam

Instalar OpenWrt wink

Betis-Jesus · 28-04-2015 20:29:20

yo no considero esto un bug, esto tipo de puertas trasera, es muy utilizado por los servicio tegnico para tener acceso a la configuracion de route, en el caso de mala configuracion y de errores de firmware, pueda arreglarlo desde esa cuenta y que con esa cuenta puede dehabilita opciones de firmware. los que me extraña que no se hablara de este tipo de puertas trasera abiertamente en internet ya que hay escasa informacion sobre este tipo de puertas trasera y que los que prueban los firmware no se alla dado cuenta de esta cuenta oculta

kcdtv · 29-04-2015 00:08:02

No se si es un bug, un error .... o si no lo es.
En todo caso no es una puerta trasera sino más bien la puerta del sol o el arco de triunfo
parece mentira : super:super tongue roll lol

Betis-Jesus · 01-05-2015 10:49:52

teoricmente hablando no se puede considera un bug, ya que el codigo ese puerto en el firmware. es para algo, y la finalidad a menos antiguamente era el modo en que los tegnico podia tener acceso a la configuracion de firmware, en caso de problema especifico de firmware y poder arreglarlo en caso de problema para el cliente. sin necesidad de saber la clave de panel de administrador de router en el caso que el cliente hubiera cambiado la clave de acceso a panel.

los que ya me parece raro que ese codigo le pueda dar problema y que le cueste quitar esa opcion en el firmware.

kcdtv · 01-05-2015 14:29:30

Betis escribió:

y la finalidad a menos antiguamente era el modo en que los tegnico podia tener acceso a la configuracion de firmware, en caso de problema especifico de firmware y poder arreglarlo en caso de problema para el cliente. sin necesidad de saber la clave de panel de administrador de router en el caso que el cliente hubiera cambiado la clave de acceso a panel.

Sip;
Pero Realteck no es un ISP o un fabricante de routers.
Lo que dices tiene sentido en el caso de un ISP, Pero a nivel de fabricante de chipset... ellos en teoría venden su cosa con su SDK y luego ya no es su historia. No tienen ninguna relación con el cliente final, tratan con fabricantes de routers,

Betis escribió:

teoricmente hablando no se puede considera un bug,

el bug sería más "olvidarse de quitar la cuenta de super administrador" o "no permitir a los que hacen firmwares en base de la sdk realtek de quitar esta puerta trasera"
hay que decir que esta SDK de realteck pesa mas o menos 420MB tongue ... quería estudiarla para ver si encontraba la razón, pero... que lo hagan los de realtek o los fabricantes que usan sus productos :... 420 MB de código a repasar lol lol

Betis-Jesus · 01-05-2015 19:28:44

coño por vaya megcodigo ese de sdk, para el funcionamiento de un route, 420 mb es muchos para un dipositivo, no me extraña entonces que tenga demasiado bug los Realteck, 420 mb ni el linux mas pequeño consume eso de sdk de Realteck.

la verdad que no conocia el sdk de Realteck, puede ser interesante.

kcdtv · 01-05-2015 20:48:34

La SDK (Socket Development Kit) es una herramienta para desarrolladores para hacer el firmware.
Es un entorno muy completo que instalas para construir el firmware.
Es algo pesado pero no tanto si lo comparas con algo como una versión algo completa de QT.
Es que permite programar el firmware y la interfaz grafica "todo en uno" asi que abarca muchos elementos para hacer todo esto.
Luego el frimware en si pesa mucho menos, es bastante ligero de hecho.

para el funcionamiento de un route, 420 mb es muchos para un dipositivo,

completamente, de hecho los routers afectados no son bestias, mas bien 64 MB de memoria que 420mb que es mucho mucho para un router
la sdk se instala en la computadora, construyes el firmware con ella y luego lo pones en el routers sin tener que poner la sdk en el router
solo necesitas la sdk en el "puesto de trabajo dedicado al desarrolló"

Betis-Jesus · 03-05-2015 19:23:03

si solo hay que instalar el sdk en la maquina de desarrollor, sin tanta complicaciones me parece que le echare un vistaso a sdk, yo pensaba que habia que montar un encenario especifico para esta tarea, maquna MIPS ect., lso que a mi me interesaria de sdk es que pueda ver codigo especifico de firmware y adapttarlo a otros tipo o ver simitudes de codigo entres firmware

Tema	Respuestas	Vistas	Ultimo mensaje
¡Vienen grandes cambios! por Takomou	2	166	Hoy 15:25:52 por Patcher
Pegado: Pegado:: Wireless Air Cut, auditoria del protocolo wps en Windows por Patcher [ 1 2 3 … 21 ]	521	339985	10-05-2023 18:24:28 por Betis-Jesus
Hospital clinic dump por wifiyeah [ 1 2 ]	27	1242	09-05-2023 21:32:44 por kcdtv
Hacktivismo por CHARGER22	1	205	08-05-2023 19:53:26 por kcdtv
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	447	66090	22-04-2023 15:31:13 por kcdtv

Foro Wifi-libre.com

#1 26-04-2015 21:30:46