Brecha de seguridad Movistar: Escalar privilegios en Askey RTF3505VW

kcdtv · 03-02-2023 18:47:21

Se hace publica una brecha de seguridad en los routers Askey RTF3505VW, un modelo empleado por Telefónica en sus redes MOVISTAR_XXXX

Es la segunda vez que Leo Servalli encuentra una forma de obtener los "super poderes" en unos routers empleados por téléfonica.
La primera fue en un modelo en Mirastar, (consultar Peligro de puerta trasera en box fibra "Mitrastar" de Movistar) esta vez hablamos de un router Askey.
Este mismo:

Un router apto para fibra óptica con wifi ac.

Veamos ahora cómo funciona el exploit:

Por defecto el router ofrece acceso - mediante SSH - a una consola restringida (usuario support)

Podemos ver el modelo del router y...
... usar tcp_dump roll
Si no sabes lo que es tcp-dump, es una herramienta muy potente que permite controlar una interfaz para capturar trafico
Hablamos de funciones "criticas" que siempre se protegen con privilegios "roots" ya que un usuario indeseable podría robar todo el trafico de todos los clientes.
Por la razón que sea, tcdump está incluido en esta shell SSH limitada.
Además, no procesa correctamente la opción -z (postrotate-command) de tcpdump
La opción es normalmente solo para iniciar un proceso secundario que comprime las capturas.
Sin embargo en nuestro caso podemos usarla para inyectar comandos

- El exploit propuesto pasa un documento por la opción -z de tcpcump que almacena en los ficheros /tmp (temporales RAM)
Y desde este fichero se inyectan las ordenes a ejecutar por tcpdump por el puerto 80 en el router (la interfaz web)
Para ello (inyectar ordenes) los paquetes mandados por tcpdumd empiezan con

 ";/bin/bash"

- Acabaremos teniendo una consola zh reversa en el puerto 4444:

- Magia:
¡Somos "support" pero con privilegios "root"! biere

Podemos acceder a /etc y /var y mirar directo a todos los usuarios y sus credenciales.
Podemos modificar un usuario o añadir un usuario nuevo, o bien ir navegando por todo el sistema de fichero con la facultad de modificarlo...
Los credenciales para acceder a la shell restringida cómo usuario "support" están en la etiqueta del router.
El autor del exploit señala que a veces se pueden usar credenciales genéricos.
Podemos ver efectivamente a un usuario con credenciales telefonica:telefonica olvidado por ahí.... tongue

Para más detalles, dirección la fuente:

Privilege-escalation-ASKEY-Router-RTF3505VW-N1 by Leo Servalli @ Github

Se puede descargar y probar el exploit desde el repositorio.
No es necesario si usas metasploit ya que está incluido,
Es un script bash que arrancaremos directamente desde la consola con derechos root y una vez que tenemos a tcpdump instalado.

wifiyeah · 03-02-2023 23:10:27

kcdtv escribió:

No es necesario si usas metasploit ya que está incluido,

en metasploit no esta ese exploit
buque por askey y RTF3505VW y nada,
ya diras como buscarlo
salu2

kcdtv · 04-02-2023 13:32:23

Error mio, lo he visto en la entrega mensual (enero) de packetstorm y asumí que estaría presente en metasploit.
salu2

wifiyeah · 04-02-2023 15:03:20

kcdtv escribió:

Error mio, lo he visto en la entrega mensual (enero) de packetstorm y asumí que estaría presente en metasploit.
salu2

no problemo
ire mirando a ver si lo incluyen en proximas relises que siempre es mas facil lanzarlo desde meta
salu2

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7766	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3806	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63604	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	420	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258625	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 03-02-2023 18:47:21