Foro Wifi-libre.com

Full disclosure en exclusiva para wifi-libre.com :
    Algoritmo de generación del PIN por defecto de los dos routers los mas rápidos de TRENDnet:
                      El TEW-818DRU ("ac1900") y el TEW-828DRU ("ac3200")

Full Disclosure oficial en packet storm :

• TRENDnet TEW-818RDU PIN Disclosure

  TRENDnet es un fabricante californiano de material de redes creado en 1990.
  Es hoy en día una empresa multinacional especializada en la producción de puntos de accesos y que propone una gama amplia de productos : switches, tarjetas, cameras vídeo con wifi etc..
   Lo que caracteriza TRENDnet es que produce muchos tipos de  modelos ac (Con una velocidad de bajada superior a 300 Mbps ) para adaptarse a todo tipo de presupuestos con una oferta bastante impresionante en este aspecto: 
  Podemos gastarnos menos de 50€ (55$) con un TEW-810DR (Version v1.1R) (  AC750 Dual Band). Un verdadero "ac low cost" con ya 750 Mbps.
  Como podemos gastarnos mas de 250€ ($279.99 ) con el modelo de alta de gama "trial band" ; el TEW-828DRU, verdadero "producto estrella" con su impresionante tasa de hasta 3200 Mbps

   TRENDnet se ha claramente posicionado en el mercado como un especialista de la alta velocidad apostando por las frecuencias 5Ghz 

   Como los miembros de wifi-libre solo merecen lo mejor de lo mejor aquí hablaremos de la seguridad WiFi  del mejor punto de acceso de TRENDnet
 

Versión 1 del TRENDnet TEW-818DRU / soporte banda "ac" con 1900 Mbps

• pagina del producto

Versión 1 del TRENDnet TEW-828DRU / soporte banda "ac" con 3200 Mbps

• pagina del producto

Detalles sobre la brecha WPS

  Es en un primer tiempo gracias a los emuladores de la interfaz de administración que he podido poner el dedo en esta brecha :

• TEW-818DRU_v1 (ac1900)

• TEW-828DRU_v1.0R (ac3200)

  Podemos ver de inmediato varios puntos negativos respecto al WPS en los parámetros por defecto:

• El WPS en modo PIN esta habilitado por defecto para las redes 2.4 Ghz y 5Ghz

• El PIN no se puede cambiar de ningún modo para las redes 2.4 y 5 Ghz

• Es el mismo PIN que se emplea en la red 2.4Ghz que en la red 5Ghz

• Conclusión Peligro en las dos bandas con un PIN único, no-configurable y activado con los parámetros por defecto 

  Con estos parámetros por defecto el router es susceptible de un ataque de brute-force sobre protocolo WPS.
Se podría salvar si benéfica de un sistema de bloqueo WPS con intervalos largos o exponenciales y bajo condición de no ser "compatible" con pixiewps.
Pero no hay salvación si se puede generar el PIN por defecto ya que con un solo inteto y en unos segunditos un intruso podrá conectarse a nuestro red y desencriptar el trafico
La única solución para colmatar la brecha es deshabilitar del todo el WPS.

Un algoritmo WPS... con una sensación de "déjà-vu"

  Vemos los datos por defectos en estos emuladores...
  Podemos ver las direcciones MAC en advanced > admin > status

  Y encontraremos el PIN único en el apartado WPS de cada red advanced > wireless 5 Ghz² > WPS

Como me había ya topado con un trendnet vulnerable con WPSPIN; lo primero que hizó es convertir el final de las mac a decimal para ver si no cantaba un gallo.
  Pero a primera vista no estaba muy bien encarrilado:

                             PIN : 3820944  + 4(checksum)

• LAN MAC Address                       00:90:4C:0F:F4:D2   >decimal>   1045714

• 2.4GHz Wireless MAC Address     00:90:4C:10:E4:D2   >decimal>   1107154

• 5GHz Wireless  MAC Address       00:90:4C:0E:54:D2   >decimal>  0939218

• 5GHz2 Wireless Network               00:90:4C:0E:64:D2   >decimal>    943314

 
Así que decidí "darle la vuelta a la tortilla" y mirar a que valor hexadecimal corresponde el PIN por defecto (menos el checksum)
Para ver si lo podíamos relacionar de cierto modo con una de las mac:

              PIN en hexadecimal  3A:4D:90

• LAN MAC Address                        00:90:4C:0F:F4:D2   >decimal>   1045714

• 2.4GHz Wireless MAC Address     00:90:4C:0:E4:D2   >decimal>   1107154

• 5GHz Wireless  MAC Address       00:90:4C:0E:54:D2   >decimal>  0939218

• 5GHz2 Wireless Network               00:90:4C:0E:64:D2   >decimal>    943314

¡BINGO!

Aparecen unas redundancias prometedoras.
reencontramos el byte 4D tal cual
  4D es  como un eje y el 0  pasa de un lado al otro del eje; como si intervendría una inversión en las mac antes de pasar las a decimal.
Parece que tenemos una "nueva versión" del algoritmo de Zao:( ver   Algoritmo ComputePIN-C83A35 de ZaoChunsheng : La brecha en la brecha )
  Al haber tenido que codificar WPSPIN me recordaba muy bien de un elemento a tener en cuenta cuando se usa este algoritmo : La reducción por modulo 10 para quitar un eventual dígito sobrante.
La norma WPS define un PIN como una cadena de 8 números en la cual el ultimo dígito es una suma de comprobación de los siete dígitos precedentes ( ver Calcular el checksum WPS (la ultima cifra del PIN) )
  Para tener un PIN correcto nuestra conversión a hexadecimal tiene que devolver 7 cifras para calcular el checksum.
  Si convertimos a decimal un hipotético final de mac FF:FF:FF obtenemos 16777215
Tenemos 8 digitos.
Nos sobra el 1 que quitamos para generar el PIN correctamente (7 dígitos checksum)
Así que el valor de nuestro PIN genérico 3820944 podría ser en verdad 13820944.
Y en este caso correspondería a una mac que acaba con D2E410

   segundo bssid posible D2:E4:10

• LAN MAC Address                       00:90:4C:0F:F4:D2   

• 2.4GHz Wireless MAC Address     00:90:4C:10:E4:D2   

• 5GHz Wireless  MAC Address       00:90:4C:0E:54:D2   

• 5GHz2 Wireless Network               00:90:4C:0E:64:D2   

Se invierten el ultimo y el cuarto byte del bSSID de la red 2,4 Ghz antes de efectuar la conversión a decimal

recapitulamos cada paso para calcular un PIN Trendnet

1. Invertir los bytes 6 y 4 del bssid para la red 2.4 Ghz
   2.4GHz Wireless MAC Address     00:90:4C:10:E4:D2  >>   nos da D2E410

2. Convertir a decimal
   D2E410 pasado a decimal nos das 13820944

3. Generar el PIN WPS con su checksum
   Para poder generar un checksum WPS (4 en este caso) necesitamos una cadena de siete cifras así que quitamos el dígito sobrante (al inicio) para obtener el PIN 38209444

edit - Ahora disponible : tdn.sh : Generador de PIN por defecto para TRENDnet TEW-818DRU & TEW-828DRU

Para descargas, soporte y instrucciones ir a :

• tdn.sh: Generador PIN paraTRENDnet TEW-818DRU y TEW-828DRU