El libre pensamiento para un internet libre
No estas registrado.
- Temas: Activo | Sin respuesta
Anuncio
#1 29-08-2020 12:26:21
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,299
Múltiples puertas traseras en ZTE mobile Hotspot MS910S
Múltiples puertas traseras en ZTE mobile Hotspot MS910S
El ZTE mobile Hotspot MS910S es un Punto de Acceso de bolsillo que funcionará con la 4G.
Hablo al condicional porque resulta muy difícil encontrar las características técnicas o una simple foto del dispositivo
Ni-siquiera en los sitios de segunda mano
Y menos en el sitio oficial de ZTE,
No es muy sorprendente: Hablamos de un producto "EoL" (End of life) y ZTE es muy de practicar la amnesia sistemática
Producen tantos modelos (y tantas basuras) que se olvidan de todo una vez que no venden el producto....
Y en este caso es mejor hacerse el tonto porque son brechas criticas y inadmisibles (hasta ilegales en california)
Estamos hablando de credenciales "grabados en la roca" (en el firmware).
El dueño del dispositivo no puede hacer nada para cambiarlos o desactivarlos
Se trata entonces de puertas traseras permanentes, una autentica espada de Damocles...
Credenciales " hardcodeados" con privilegios de administradores
Tras desensamblar el firmware, Ying SHEN y T. WEBER examinaron el directorio /etc/shadow
Podéis verlo a continuación:
root:$1$$zdlNHiCDxYDfeF4MZL.H3/:10933:0:99999:7:::
Admin:$1$$zdlNHiCDxYDfeF4MZL.H3/:10933:0:99999:7:::
bin::10933:0:99999:7:::
daemon::10933:0:99999:7:::
adm::10933:0:99999:7:::
lp:*:10933:0:99999:7:::
sync:*:10933:0:99999:7:::
shutdown:*:10933:0:99999:7:::
halt:*:10933:0:99999:7:::
uucp:*:10933:0:99999:7:::
operator:*:10933:0:99999:7:::
nobody::10933:0:99999:7:::
ap71::10933:0:99999:7:::Las cuentas admin y root usan la misma contraseña, codificado en md5 ($1$)
Y dicha contraseña (que los investigadores califican de débil) es 5up.
La verdad es que es muy fácil: Super > 5uper > 5up
Típica contraseña del administrador vago que encontraríamos en rockyou... 
Tenemos entonces a un doble combo para tomar el control del dispositivo
admin:5uproot:5upVersión de busybox desfasada con cantidades de brechas conocidas
El dispositivo funciona con consola busybox versión 1.12.0
Esta es una lista no exhaustiva de brechas criticas que tenemos en esta versión anticuada de busybox
CVE-2013-1813, CVE-2016-2148, CVE-2016-6301, CVE-2011-2716, CVE-2011-5325, CVE-2015-9261, CVE-2016-2147
Comprobaron que la vulnerabilidad con CVE-2017-16544 estaba efectiva en un entorno emulado
# ls "pressing <TAB>"
test
]55;test.txt
#Puerta trasera en el servidor web Goahead
En este caso los investigadores encontraron una vulnerabilidad parecida a una publicada anteriormente (marso 2017): Backdoor and root shell on ZTE MF286
Lo que los puso en este pista fue encontrarse con un puerto hardecodeado muy inusual para el servicio telnetd, el puerto 4719
<snip>
dword_788DC = (int)"/bin/login";
dword_788E0 = (int)"/etc/issue.net";
v3 = sub_5DBFC(a2, "f:l:Kip:b:F", &dword_788E0, &dword_788DC, &v76, &v75);
v4 = v3 & 8;
v5 = v3;
if ( !(v3 & 8) && !(v3 & 0x40) )
sub_64A10(v3 & 8);
if ( (v5 & 0x48) != 64 )
{
openlog((const char *)dword_798DC, 1, 24);
dword_78630 = 2;
}
if ( v5 & 0x10 )
v6 = sub_64FF8(v76);
else
v6 = 4719; <------------------------------------- Port "4719"
if ( !v4 )
{
v2 = sub_65578(v75, v6);
sub_E394(v2, 1);
sub_D9B0(v2);
goto LABEL_13;
}
dword_788D8 = (int)sub_1C480(0);
if ( dword_788D8 )
{
<snip>Pudieron ejecutar de forma arbitraria a varios scritpts como rem_start.sh cuyo contenido es el siguiente:
#!/bin/sh
if ps|grep remserial
then
echo "remserial is running.."
else
remserial -p 10005 -r 192.168.1.10 -s "115200 raw" /dev/ttyUSB0 &
fiSignifca que tenemos tras su ejecuccion a una consola corriendo sobre el puerto 10005 con velcoidad de 115200 Baud
Sobre este full disclosure
Los investigadores entraron en contacto con ZTE el 30 de setiembre 2019
ZTE estudio la brecha y su respuesta fue anunciar la "End of service" el 5 de octubre 2019 del modelo incriminado
Los investigadores esperaron 9 meses antes de desvelar la brecha para que la gente pueda comprar otro dispositivo.
No ceo que sea una buena idea hacer así, es incluso un error si pretendemos proteger los intereses de los usuarios finales
Los de ZTE se limpian las manos (y su imagen no está manchada) mientras que el usuario queda desprotegido 9 meses (5up no es una contraseña difícil de averiguar)
Nadie cambia de router si llega a su "fin de servicio"
Pero si se desvela unas brechas criticas es otra historia.
Informar el publico deberia ser lo primero, sobre todo viendo lo que pasa en esta industria (ver Estudio 2020 sobre nivel de (in)seguridad en routers domésticos )
Fuentes
Multiple Vulnerabilities in ZTE mobile Hotspot MS910S (CVE-2019-3422) by Thomas WEBER @ SEC Consult
ZTE Mobile Hotspot MS910S Backdoor / Hardcoded Password by Ying CHEN & Thomas WEBER @ packetstormsecurity.org
Desconectado
Anuncio
Temas similares
| Tema | Respuestas | Vistas | Ultimo mensaje |
|---|---|---|---|
|
Pegado: |
13 | 4125 | 14-01-2021 18:37:07 por Koala |
|
Pegado: |
9 | 880 | 13-01-2021 01:37:51 por rizuz |
|
Crackear un Handshake por AlexHndz
|
2 | 259 | 11-01-2021 17:09:07 por kcdtv |
|
Pegado: |
487 | 250067 | 11-01-2021 04:03:40 por Bryan Vnzla |
|
Antena de 2km para la alfa awus036ach por Bryan Vnzla
|
7 | 451 | 10-01-2021 05:08:05 por Bryan Vnzla |
Información del usuario
Ultimo usuario registrado: tachuelas
Usuarios registrados conectados: 0
Invitados conectados: 13
Estadisticas de los foros
Número total de usuarios registrados: 2,084
Número total de temas: 1,491
Número total de mensajes: 14,571
Atom tema feed - Impulsado por FluxBB
