Foro Wifi-libre.com

La última versión de la Flybox con soporte ac de Orange es vulnerable a ataque por diccionario

Antes de nada quiero saludar y dar las gracias al amigo Betis Jesus por señalar esta brecha muy concreta que afecta a la última versión de la Flybox de Orange.

Breve recordatorio sobre una configuración... grotesca

  La brecha no es nueva en sí y es la misma que la reportada en este tema: TP-Link TL-MR3240 o "del uso del PIN WPS como pass WPA"
  Es una brecha grosera: Algunos routers TP-Link vienen con una configuración de fabrica pésima.
   

El PIN WPS hace también de llave WPA por defecto

  Sabiendo que la ultima cifra de un PIN WPS es una suma de comprobación (Checksum) de las siete cifras precedentes; nos quedamos en 10⁷ combinaciones posibles.
  O sea un máximo de 10 millones de contraseñas a comprobar.
  Una tarea al alcance de cualquiera:

• 4 horas con la peor de las CPU

• 15 minutos con un i7 de los buenos.

  El calculo del checksum significa una reducción del 90% del tiempo total del ataque.
En las fotos siguientes (cortesía de Betis Jesus ) podéis ver que Orange deja en uso a esta terrible configuración WPA heredada de TP-Link:

Sobre la "última Flybox" de Orange

"Flybox" es una apelación empleada por Orange en varios países para designar a sus redes "móviles" 4G / WiFi.
Se distinguen fácilmente de las livebox por su eSSID por defecto: Flybox_XXXX en frecuencias 2.4Ghz.
Existen varias versiones de la Flybox en España.
Los modelos anteriores son de Huawei y no están afectados.
El diccionario vale unicamente para la ultima versión.
  La "nueva Flybox" introduce el soporte ac y trae cuatro puertos Ethernet en lugar de uno.

• Flybox 4G MR200 @ Orange

   Tiene además antenas exteriores para el 4G:

  El WiFi se hace con antenas internas  
Según Betis Jesus no es ninguna maravilla "wifisticamente" hablando y no me sorprende.
  El modelo exacto es el TP-Link Archer MR 200 "AC750 Wireless Dual Band 4G LTE Router"
Un routeur que emplea exclusivamente un chipset mediatek (Ralink moderno)

• CPU1: MediaTek MT7620A

• WI1 chip1: MediaTek MT7620A

• ETH chip1: MediaTek MT7620A

Un "onboard chip" y esto tampoco es signo de mucha mucha cualidad.

• TP-LINK Archer MR200

Diccionario de ataque

Aquí tenéis un diccionario:

Haz clic aquí para descargar FlyboxTPLink.txt

  Lo podéis hacer vosotros mismo con vuestra consola así (con crunch instalado):

crunch 8 8 1234567890 -o pin7.txt && while read line; do  echo $line$((((10 - $(($((${line:0:1} * 3 + ${line:1:1} + ${line:2:1} * 3 + ${line:3:1} + ${line:4:1} * 3 + ${line:5:1} + ${line:6:1} * 3))%10))))%10)) >> FlyboxTPLink.txt done < pin7.txt && rm -r pin7.txt 

  Se genera con crunch un diccionario llamado pin7,txt con todas las combinaciones de 7 números.
Luego se calucla el checksum para cada cadena y se guarda el resultado en un diccionario llamado FlyboxTPLink.txt
Bash es un poco lento para generar el checksum, Contar media hora con una CPU floja para generar le diccionario

  Detectar los dispositivos afectados se hace a ciencia ciertas gracias a los parámetros extendidos de las respuestas probe del Archer: 

Recuerdo que la brecha no afecta solo a las Flybox y que conocemos a, por lo menos, cuatro modelos TP-Link afectados:

•     TP-LINK Archer MR200 - AC750 Wireless Dual Band 4G LTE Router

•     TP-LINK TL-MR6400 - 300Mbps Wireless N 4G LTE Router

•     TP-LINK TL-MR3420 - 3G/4G Wireless N Router

•     TP-LINK TL-MR3020 - Portable 3G/4G Wireless N Router

En resumen: La linea de productos TP-Link 3/4G-WiFi es vulnerable.
Orange no ha rectificado el tiro en su Flybox
  * Los usuarios de dichos dispositivos deben imperativamente cambiar la contraseña WPA de fabrica  por una personal y robusta.
    Deben también deshabilitar el WPS.
  * Recuerdo amistosamente que las flybox salen caras al sus dueños:

 
    Así que no es lo mismo que "chupar" de una red "clásica" dónde no hay limites de datos.
         No seamos unos vándalas desconsiderados.