El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 29-08-2020 12:26:21

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,223

Múltiples puertas traseras en ZTE mobile Hotspot MS910S

Múltiples puertas traseras en ZTE mobile Hotspot MS910S

giphy.gif

  El ZTE mobile Hotspot MS910S es un Punto de Acceso  de bolsillo que funcionará con la 4G.
Hablo al condicional porque resulta muy difícil encontrar las características técnicas o una simple foto del dispositivo 
Ni-siquiera en los sitios de segunda mano
  Y menos en el sitio oficial de ZTE,
No es muy sorprendente: Hablamos de un producto "EoL" (End of life) y ZTE es muy de practicar la amnesia sistemática
Producen tantos modelos (y tantas basuras) que se olvidan de todo una vez que no venden el producto....

  Y en este caso es mejor hacerse el tonto porque son brechas criticas y inadmisibles (hasta ilegales en california)
Estamos hablando de credenciales "grabados en la roca" (en el firmware).
El dueño del dispositivo no puede hacer nada para cambiarlos o desactivarlos
  Se trata entonces de puertas traseras permanentes, una autentica espada de Damocles...

Credenciales " hardcodeados" con privilegios de administradores

  Tras desensamblar el firmware, Ying SHEN y T. WEBER examinaron el directorio /etc/shadow
Podéis verlo a continuación:

root:$1$$zdlNHiCDxYDfeF4MZL.H3/:10933:0:99999:7:::
Admin:$1$$zdlNHiCDxYDfeF4MZL.H3/:10933:0:99999:7:::
bin::10933:0:99999:7:::
daemon::10933:0:99999:7:::
adm::10933:0:99999:7:::
lp:*:10933:0:99999:7:::
sync:*:10933:0:99999:7:::
shutdown:*:10933:0:99999:7:::
halt:*:10933:0:99999:7:::
uucp:*:10933:0:99999:7:::
operator:*:10933:0:99999:7:::
nobody::10933:0:99999:7:::
ap71::10933:0:99999:7:::

Las cuentas admin y root usan la misma contraseña, codificado en md5 ($1$)
Y dicha contraseña (que los investigadores califican de débil) es 5up.

     La verdad es que es muy fácil: Super > 5uper > 5up
  Típica contraseña del administrador vago que encontraríamos en rockyou... hmm
Tenemos entonces a un doble combo para tomar el control del dispositivo

admin:5up
root:5up
Versión de busybox desfasada con cantidades de brechas conocidas

El dispositivo funciona con consola busybox versión 1.12.0
Esta es una lista no exhaustiva de brechas criticas que tenemos en esta versión anticuada de busybox

CVE-2013-1813, CVE-2016-2148, CVE-2016-6301, CVE-2011-2716, CVE-2011-5325, CVE-2015-9261, CVE-2016-2147

 
Comprobaron que la vulnerabilidad con CVE-2017-16544 estaba efectiva en un entorno emulado

# ls "pressing <TAB>"
test
]55;test.txt
#
Puerta trasera en el servidor web Goahead

  En este caso los investigadores encontraron una vulnerabilidad parecida a una publicada anteriormente (marso 2017): Backdoor and root shell on ZTE MF286
  Lo que los puso en este pista fue encontrarse con un puerto hardecodeado muy inusual para el servicio telnetd, el puerto 4719

<snip>
dword_788DC = (int)"/bin/login";
  dword_788E0 = (int)"/etc/issue.net";
  v3 = sub_5DBFC(a2, "f:l:Kip:b:F", &dword_788E0, &dword_788DC, &v76, &v75);
  v4 = v3 & 8;
  v5 = v3;
  if ( !(v3 & 8) && !(v3 & 0x40) )
    sub_64A10(v3 & 8);
  if ( (v5 & 0x48) != 64 )
  {
    openlog((const char *)dword_798DC, 1, 24);
    dword_78630 = 2;
  }
  if ( v5 & 0x10 )
    v6 = sub_64FF8(v76);
  else
    v6 = 4719; <------------------------------------- Port "4719"
  if ( !v4 )
  {
    v2 = sub_65578(v75, v6);
    sub_E394(v2, 1);
    sub_D9B0(v2);
    goto LABEL_13;
  }
  dword_788D8 = (int)sub_1C480(0);
  if ( dword_788D8 )
  {
<snip>

Pudieron ejecutar de forma arbitraria a varios scritpts como rem_start.sh cuyo contenido es el siguiente:

#!/bin/sh
if ps|grep remserial
then
echo "remserial is running.."
else
remserial -p 10005 -r 192.168.1.10 -s "115200 raw" /dev/ttyUSB0 &
fi

Signifca que tenemos tras su ejecuccion a una consola corriendo sobre el puerto 10005 con velcoidad de 115200 Baud

Sobre este full disclosure

  Los investigadores entraron en contacto con ZTE el 30 de setiembre 2019
ZTE estudio la brecha y su respuesta fue anunciar la "End of service" el 5 de octubre 2019 del modelo incriminado
Los investigadores esperaron 9 meses antes de desvelar la brecha para que la gente pueda comprar otro dispositivo.

  No ceo que sea una buena idea hacer así, es incluso un error si pretendemos proteger los intereses de los usuarios finales
Los de ZTE se limpian las manos (y su imagen no está manchada) mientras que el usuario queda desprotegido 9 meses (5up no es una contraseña difícil de averiguar)
Nadie cambia de router si llega a su "fin de servicio"
  Pero si se desvela unas brechas criticas es otra historia.
  Informar el publico deberia ser lo primero, sobre todo viendo lo que pasa en esta industria (ver Estudio 2020 sobre nivel de (in)seguridad en routers domésticos )

Fuentes

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
No escanea redes mi Awus036ach por Victoracillo
1 98 18-09-2020 12:16:10 por kcdtv
66 47684 12-09-2020 12:02:47 por kcdtv
0 142 08-09-2020 16:15:01 por kcdtv
0 127 05-09-2020 13:36:44 por kcdtv
Pegado:
479 236115 31-08-2020 12:09:10 por Patcher

Pie de página

Información del usuario

Ultimo usuario registrado: rrafael234
Usuarios registrados conectados: 0
Invitados conectados: 7

Estadisticas de los foros

Número total de usuarios registrados: 1,998
Número total de temas: 1,460
Número total de mensajes: 14,362

Máx. usuarios conectados: 373 el 30-09-2019 15:04:36