El libre pensamiento para un internet libre
No estas registrado.
Leonardo Nicolas Servalli desveló una brecha de seguridad severa que afecta a un modelo ampliamente empleado por Telefónica en España y Chile.
Veamos de qué se trata para bien entender los riesgos (o las oportunidades)
Debido a las restricciones impuestas por el firmware de Mitrastar, el usuario hereda de un interprete de ordenes atrofiado (Reduced_CLI_HGU_v15) conectándose mediante SSH.
No se puede hacer gran cosa, pasearse por el sistema de archivo, obtener información sobre configuraciones y poco más,
Uno de los escasos comandos que tiene a su disposición es:
deviceinfo show file
Ponemos en parámetro la ruta hacía el fichero y tendremos información sobre el archivo.
El asunto es que el comando deviceinfo no interpreta como se supone los caracteres especiales.
Si encadenamos un comando con && a la ruta puesta en parámetro dicho comando se interpreta sin restricciones.
Podemos obtener sencillamente una consola "reversa" busy box con privilegios de administrador ejecutando
deviceinfo show file &&/bin/bash
Pueden ver en la captura que sigue que nuestro usuario "support" tiene todos los permisos (lecturas y escritura) sobre el fichero /etc/passwd (con lo cúal tiene estos permisos sobre/var/passwd )
¡Crear una puerta trasera es tan sencillo cómo añadir un usuario nuevo con derechos de administrador!
La brecha es sobre versión 2541GNAC-N1 y el autor no ha probado en otras versiones.
Al parecer en España se usa más la versión "-N2"
Movistar tiene la versión española del firmware - ES_g7.4_100VNJ0b65.
El autor ha probado sobre una versión inglesa - BR_g3.5_100VNZ0b33.
No obstante el fallo se encuentra en la propia cli "device info" de la consola "Reduced_CLI_HGU_v15". Cómo podéis ver es una shell "genérica" y la encontraremos en todos los dispositivos HGU (con la télé por fibra) de Mitarstar, N1, N2 y lo que sea.
La cuenta "support" está protegida con la contraseña puesta en la etiqueta del router para acceder a la administración del dispositivo.
Un intruso tendría que averiguar esta contraseña y se desconoce (por lo menos públicamente) el patrón seguido por telefónica para generar esta contraseña.
El riesgo parece real pero queda de todo mono condicionado por dos imperativos:
- Intrusión en la red
- Obtención de la contraseña de acceso "básico"
Sería cómo tener las llaves de una caja fuerte sin tener las llaves de la puerta de entrada y las del despacho dónde está la caja,
El lado positivo es que el cliente puede saltarse las limitaciones impuestas por telefónica y tomar más el control de su router,
Y es una barrera menos para una eventual implementación de un firmware de código libre.
Fuentes
Mitrastar GPT-2541GNAC-N1 Privilege Escalation by Leonardo Nicolas Servalli @ Packet storm
Privilege-escalation-MitraStar-Router-GPT-2541GNAC-N1 by Leonardo Nicolas Servalli (aka leoservalli) @ Github
Mitrastar GPT-2541GNAC by liberto Walker @ República radio
Desconectado
Tema | Respuestas | Vistas | Ultimo mensaje |
---|---|---|---|
8 | 279 | Hoy 19:18:47 por kcdtv | |
0 | 113 | 26-01-2023 19:35:15 por kcdtv | |
Pegado: |
24 | 2176 | 26-01-2023 19:00:06 por Koala |
2 | 222 | 20-01-2023 17:47:01 por kcdtv | |
3 | 384 | 17-01-2023 22:46:55 por kcdtv |
Ultimo usuario registrado: Ankaa
Usuarios registrados conectados: 0
Invitados conectados: 14
Número total de usuarios registrados: 2,421
Número total de temas: 1,628
Número total de mensajes: 15,484
Atom tema feed - Impulsado por FluxBB