Foro Wifi-libre.com

Los Sercomm FG824CD con eSSID por defecto vodafoneXXXXXX son vulnerables a un ataque pixiewps además de estar configurados con el PIN 0000000 por defecto

  El Sercomm FG824CD es una box de sercomm que emplea vodafone en España desde 2018.
Siendo un modelo moderno es apto para fibra óptica y es de "doble banda" con soporte wifi ac (hasta 1.7Gbps.) gracias a su chipset Qualcomm/Quantenna  QV840
Por lo que es de la banda 2.4Ghz - que nos interesa especialmente en este tema - lleva un chipset Mediatek (antiguamente Ralink) MT7592 (300Mbps de tasa de transmisión máxima)
Lleva 512MB de RAM DRR3 y tiene dos puertos USB 2.0 de alta potencia.
Cómo podéis ver su diseño es muy "rustico"
Y podéis también ver el icono del WPS a la derecha.

Sinopsis del ataque

  Primera información, tenemos a un chipset mediatek en la banda 2.4Ghz y sabemos que estos chipsets son susceptibles de ser vulnerables a un ataque pixiewps método 1 (Ralink)
La empresa ha cambiado de nombre pero no ha cambiado su mal habito: No usar entropía para segurizar el intercambio de llaves diffie hellman del WPS
  Para más información ver: "Pixie Dust" ataque de fuerza bruta offline para generar el PIN valido
  Es entonces sobre la red 2.4Ghz que debemos focalizar-nos
  Un escaneo extenso con wash (opción -j) no permite identificar con absoluta certeza el modelo ya que los PROBES no dicen el modelo exacto.
Y los parámetros anunciados son genéricos de Ralink, no sale el serial real.

  La forma sencilla de identificarlos es por su eSSID por defecto de tipo vodafoneXXXXXX dónde los X son dígitos hexadecimales.

  A continuación el resultado exitoso de un ataque pixiewps contra el dispositivo:

  Y tenemos a una segunda sorpresa:  Podéis ver que el PIN programado es 00000000
   ¡Y es genérico!
   ¿Quizá los de Vodafone pensaban deshabilitar el WPS poniendo 0000000?
Es en todo casos un PIN que es conforme con la regla del checksum WPS, no se requiere usar las comillas con la opción -p de reaver para usar una cadena arbitraria.
  Una "brecha doble", cortesía de voda.

  A continuación  crack de la llave WPA mediante reaver y el PIN 00000000:

  Recomiendo el argumento -N ya que con algunos chipsets puede ser necesario y no hace daño si no lo es.
El router no responde muy muy bien, es importante asegurarse de tener un buen RXQ, no solo un buen PWR, en airodump-ng, sobre todo si vivís en ciudad con los canales de la banda 2.4Ghz sobre cargados.

Red 5Ghz

   El eSSID es el mismo que en banda 2.4Ghz.
El WPS está habilitado y funciona por defecto.
No obstante no se conocen métodos tipo pixiedust contra los chipset qualcomm.
Tampoco se conoce el algoritmo empleado para generar el PIN por defecto.
  Al ser WPS 2.0 el bloqueo del PA está configurado por defecto con bloqueo "permanente" tras 3 PIN inválidos.
Y está vez no hay cosas raras, se bloquea bien.
  Con lo cuál la probabilidad de éxito en un ataque por PIN  es extremadamente baja ( 0,03%)

"Bonus track": Contra medida inefectiva

  Después tres intentos fallidos el router apaga el WPS en banda 2.4Ghz. 
No lo bloquea, lo apaga.
Pero queda apagado aproximadamente 24 horas.
Al día siguiente el WPS está activado y funcional.

  En resumen:

1. Tenemos (en la red 2.4Ghz) a 00000000 como PIN Genérico.

2. Si se ha cambiado no importa, se obtiene con pixiewps.

3. Si se ha apagado el WPS por intentos mal procesados, no sirve de nada o casi: Estará encendido al día siguiente

  Difícil ponerlo más facíl...
  Es entonces de primera importancia ( y como es de costumbre) deshabilitar el WPS cuando este está activado por defecto.
    Incluso en la red 5Ghz a pesar de que en este caso la implementación es "correcta" por parte del fabricante.