Puerta trasera y ejecución arbitraria de código en 8 modelos totolink

[h]Puerta trasera descubierta por lo menos en ocho modelos de la marca totolink [/h]

https://www.wifi-libre.com/img/members/3/toto.jpg

Totolink es la marca comercial de** zioncom**.
Es el primer fabricante sur coreano de material wifi (con una impresionante cuota de 80% del mercado) y esta muy bien implementado en asia del sur este.
Hace unos productos de medio gama reconocibles por su diseño muy… manga (cliché).
Como corea del sur es uno de los países dónde hay “·el mejor Internet del mundo”; la marca coreana esta bien situada en el mercado de los dispositivos con compatibilidad “ac” (tasas de transmisión que superan los 300mbps de la banda “bgn” con frecuencias alrededor de 2.4 Ghz)
En un full disclosure publicado hoy por Pierre Kim y** Alexandre Torres** aprendemos la existencia de unas vulnerabilidades graves en por lo menos 8 modelos fabricados por Totolink
[list=*]
]8 TOTOLINK Routers Backdoored / Command Execution/]
]Backdoor and RCE found in 8 TOTOLINK router models/]
[/list]

[h]Modelos afectados[/h]

[list=1]
]A850R-V1/]
]F1-V2/]
]F2-V1/]
]N150RT-V2/]
]N151RT-V2/]
]N300RH-V2/]
]N300RH-V3/]
]N300RT-V2/]
[/list]

[h]Descripción de la brecha[/h]

Se puede habilitar el manejo remoto de la interfaz de administración web mandando una petición http “especial”.
Una vez la interfaz de administración abierta sobre el exterior es posible modificarla sin conocer los credenciales utilizando un informe escondido (/boafrm/formSysCmd)

[h]Habilitar el control remoto (interfaz web de configuración accesible fuera de la red local) [/h]

Primero paso para hacer se con el control de uno de los 8 modelos totlink incriminados : habilitar la configuración desde el exterior.
Los investigadores han observado que el router usaba al iniciarse un pequeño script bash que contiene el comando skt
Usado sin argumentos, el comando skt activa un demonio TCP en el puerto 5555 en todas las interfaces.
Si lo usamos con argumentos - con comandos suplementarios - estos comandos se mandaran a la IP especificada (por el puerto 5555)
Destacan tres maneras de formular peticiones c
[list=1]
]mandando hel,xasf que es el equivalente de iptables -I INPUT -p tcp --dport 80 -i eth1 -j ACCEPT Con esto habilitamos el acceso a la interfaz de configuración del router desde la web /]
]Con oki,xasf hacemos lo contrario : cerramos el aceso/]
]Por fin bye,xasf que no “hace nada” ( supongo que es para salir “limpiamente”)/]
[/list]
concretamente un atacante puede habilitar el acceso remoto a la interfaz de configuración con

echo -ne "hel,xasf" | nc <ip> 5555

usamos el puerto 5555 para activar el acceso por el puerto 80 (http)

[h]Usar el informe secreto parar saltarse los credenciales y re-configurar el punto de acceso [/h]

Una vez habilitado el acceso queda obtener los derechos para modificar la configuración.
Y si los credenciales no son “admin:admin” o “super:super” es casi imposible llevar un ataque de fuerza bruta para obtenerlos.
Lo chungo es que Pierre y kim han encontrado la forma de “bypasear” los credenciales y mandar peticiones aceptadas como siendo mandadas por “root” sin tener la mas minima del password.
Se hace usando el informe “secreto”** /boafrm/formSysCmd**
Por ejemplo, podemos usar wget para lanzar una petición con POST data (código para ejecutar) :

wget --post-data='sysCmd=<cmd>&apply=Apply&msg=' http://ip//boafrm/formSysCmd
el comando que dan es para hacer un reboot ('sysCmd=&apply=Apply&msg= ) y lo mandamos directamente al informe de la IP del punto de acceso ( http://ip//boafrm/formSysCmd )

Tenemos por lo tanto una brecha muy severa explotable de forma masiva sin mover de casa. Los de Totolink no parecían estar al tanto y no han anunciado nada al respecto. Los últimos firmwares son todos vulnerables. Felicitaciones a Pierre Kim y** Alexandre Torres** por encontrar esta “doble-brecha” que da materia para miles de exploits potentes