Foro Wifi-libre.com

Puertas traseras telnet y FTP con privilegios de administrador en ProLink PRS1841 versión 2

PRS1841 - Wireless 11ac Dual-Band VDSL2 Modem Router

  Lawrence Amer publicó el año pasado (el 29 de diciembre) este exploit en packetstorm: ProLink PRS1841 Backdoor Account
  Prolink es un fabricante que desconozco.
He ido a mirar su página y no me ha dado tan mala espina.
Es una empresa que sacó su primer modelo de router en 1991. Así que no podemos llamar esta(s) puerta(s) trasera(s) "un error de principiante".
Sus productos tampoco pintan mal.
Sus routers llevan antenas externas, tienen CPE, soluciones MESH para exteriores y interiores...

  Parecen ser productos decentes de media gama.
Su catalogo no es amplio pero cubre más o menos todas las necesidades (fibra, adsl, 3-4-5G, repetidores...)

  A pesar de poder lucirse con sus 30 años de experiencia en esta industria, las brechas desveladas son groseras, por no decir más.
Buscando fotos del dispositivo incriminado, el PRS1841 v2,

 
He caído en una de estas tiendas de segunda de mano del este de europea que me encantan ya que suelen colocar bonitas fotos incluso la etiqueta con los credenciales por defecto sin difuminar:   

El password wifi por defecto es inseguro ya que usa como cadena fija el logo de la empresa y la palabara "WiFi" .

PLDTWIFI + XXXXX

Debemos hacer un brute force sobre 5 desconocidas que son mayúsculas o cifras.
36⁵ combinaciones possibles. aproximadamente 60 millones de contraseña a comprobar. 
  Pero nos estamos desviando de la brecha original, considera esto cómo un regalo extra navideño.

Puertos telnet y ftp abiertos sobre el exterior por defecto

  No sé si son las versiones "secure" de los protocolos, en todo caso y bajo ningún concepto estos servicios deberían estás abiertos por defecto fuera de la red local. 
El usuario miedo jamás los usará,
Además es probable que jamás irá a mirar estas configuraciones.

Credenciales admin:12345

  Se puede entrar en la cuenta de "administrador" con la contraseña 12345.
Pero,,, Es una cuenta "admin" con muy pocos privilegios, no permite hacer casi nada, no podemos "inyectar ordenes".
¿Qué podemos hacer?
Usar otra cuenta con más privilegios. 
Hoy es día de los reyes, regalamos cuentas.

Cuenta de "super admin" para telnet con credenciales en la red

  Quizá hubiera tenido que empezar el tema explicando que el autor del disclosure estaba de viaje en filipinas.
Y para no tener que pedir contraseñas wifi todo el tiempo, ha preferido recoger credenciales remotamente explotando esta configuración desastrosa.
En las filipinas parece que hay una comunidad activa y que conocen en la escena local bastante trucos de sus ISP 
Uno de estos trucos es la cuenta adminpldt, con su contraseña 8d32f84964abbc7a6097e43
  El autor ha podido comprobarlo y de paso descubrir algo nuevo...
Además de nobody, admin y adminpldt, existe una cuarta cuenta activa: adsl

Nueva cuenta "adsl" con privilegios root en telnet y ftp

 
  Para crackear la contraseña nuestro amigo ha necesitado, según dice, "59 segundos con jhon the ripper", seamos exactos
El password es... tambores....

realtek

Mandamos desde aquí muchos emoji corazón a estos viejos conocidos...
Y aquí tenemos a zux0x3a paseándose por el sistema de fichero gracias a la cuenta adsl que acaba de crackear.

El autor ha encontrado a más de 3000 redes potencialmente vulnerables. 
Ha contactado al fabricante y no ha obtenido respuesta.
Habrá sido un viaje interesante en el país de las mil cuentas

fuente

• Backdoor discovered in PLDT home fiber routers by zux0x3a @ 0xsp SRD