El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 04-10-2021 15:02:13

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,681

Peligro de puerta trasera en box fibra "Mitrastar" de Movistar

Escalada de privilegios de privilegios y inyección de comandos en Mitrastar HGU GPT-2541GNAC-N1 mediante conexión ssh

  Leonardo Nicolas Servalli desveló una brecha de seguridad severa que afecta a un modelo ampliamente empleado por Telefónica en España y Chile.
Veamos de qué se trata para bien entender los riesgos (o las oportunidades)

brechaGPTMitrastar_5.jpg

Implementación de una puerta trasera
  • Debido a las restricciones impuestas por el firmware de Mitrastar, el usuario hereda de un interprete de ordenes atrofiado (Reduced_CLI_HGU_v15) conectándose  mediante SSH.
    brechaGPTMitrastar_3.png

  • No se  puede hacer gran cosa, pasearse por el sistema de archivo, obtener información sobre configuraciones y  poco más,
    Uno de los escasos comandos que tiene a su disposición es:
     

    deviceinfo show file

    Ponemos en parámetro la ruta hacía el fichero y tendremos información sobre el archivo.

  • El asunto es que el comando deviceinfo no interpreta como se supone los caracteres especiales.
    Si encadenamos un comando con && a la ruta puesta en parámetro dicho comando se  interpreta sin restricciones.

  • Podemos obtener sencillamente una consola "reversa" busy box con privilegios de administrador ejecutando

    deviceinfo show file &&/bin/bash

    brechaGPTMitrastar_2.png

  • Pueden ver en la captura que sigue que nuestro usuario "support" tiene todos los permisos (lecturas y escritura) sobre el fichero /etc/passwd  (con lo cúal tiene estos permisos sobre/var/passwd  )
    brechaGPTMitrastar_4.png
    ¡Crear una puerta trasera es tan sencillo cómo añadir un usuario nuevo con derechos de administrador!

Riesgos

   La brecha es sobre versión 2541GNAC-N1 y el autor no ha probado en otras versiones.
Al parecer en España se usa más la versión "-N2"
Movistar tiene la versión española del firmware - ES_g7.4_100VNJ0b65.
El autor ha probado sobre una versión inglesa - BR_g3.5_100VNZ0b33.
  No obstante el fallo se encuentra en la propia cli "device info"  de la consola  "Reduced_CLI_HGU_v15". Cómo podéis ver es una shell "genérica" y la encontraremos en todos los dispositivos HGU (con la télé por fibra) de Mitarstar, N1, N2 y lo que sea.
   
  La cuenta "support" está protegida con la contraseña puesta en la etiqueta del router para acceder a la administración  del dispositivo.
Un intruso tendría que averiguar  esta contraseña y se desconoce (por lo menos públicamente)  el patrón seguido por telefónica para generar esta contraseña.

  El riesgo parece real pero queda de todo mono condicionado por dos imperativos:

  1. - Intrusión  en  la red

  2. - Obtención de la contraseña de acceso "básico"

Sería cómo tener las llaves de una caja fuerte sin tener las llaves de la puerta de entrada y las del despacho dónde está la caja, 

  El  lado positivo es que el cliente puede saltarse las limitaciones impuestas por telefónica  y tomar más el control de su router,

giphy.gif

Y es una barrera menos para una eventual implementación de un firmware de código libre.

Fuentes

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Pie de página

Información del usuario

Ultimo usuario registrado: Ankaa
Usuarios registrados conectados: 0
Invitados conectados: 14

Estadisticas de los foros

Número total de usuarios registrados: 2,421
Número total de temas: 1,628
Número total de mensajes: 15,484

Máx. usuarios conectados: 373 el 30-09-2019 15:04:36