Autor Tema: Directory Traversal en módems 2wire 4011G y 5012NV  (Leído 6214 veces)

0 Usuarios y 1 Visitante están viendo este tema.

adiaz

  • *
  • Mensajes: 38
  • Liked: 24
Directory Traversal en módems 2wire 4011G y 5012NV
« : diciembre 31, 2012, 03:48:16 am »
Dispositivos afectados:
2wire 4011G-001 con firmware <= 9.1.1.16
2wire 5012NV-002 con firmware <= 9.3.1.29
Posiblemente otros con firmware 9.x.x.x

Descripción:
Existe una vulnerabilidad en el formulario de inicio de sesión del portal de configuración por http de estos módems, específicamente en el control oculto llamado __ENH_ERROR_REDIRECT_PATH__ que no es validado correctamente en el servidor. Un atacante sin autenticación puede manipular su valor para obtener del dispositivo archivos con contraseñas de fábrica en texto plano, configuraciones, etc.

Severidad:
Alta

Historial:
- Descubierta en septiembre de 2012.
- Intento de contacto con Pace. De su página web: "if you are an end-user of a Pace set-top box or gateway product that you acquired from a service operator or retailer, please contact them directly for any support issues."
- Intento de contacto con el ISP. Envío de datos por redes sociales: Nunca llaman de regreso.
- Publicada el 31 de diciembre de 2012.

Prueba de concepto:
Adjunto un script para nmap, si identifica al objetivo como 2wire intenta obtener varios archivos.

Saludos y agradecimientos:
A humberto121, hkm, cldrn y a toda la cum.
« Última Modificación: diciembre 31, 2012, 03:50:30 am por adiaz »

hkm

  • Moderador
  • *
  • Mensajes: 1234
  • Liked: 260
    • Hakim.Ws
Re:Directory Traversal en módems 2wire 4011G y 5012NV
« Respuesta #1 : diciembre 31, 2012, 07:15:10 pm »
Excelente como siempre!

Felicidades por encontrar la vuln!, felicidades por crear el script en NSE y ganar un libro!, y felicidades por el 2013 ya de paso! XD

Gracias por compartir, estoy seguro que esto abre las posibilidades de encontrar futuras vulnerabilidades en estos dispositivos.

Saludos!

cldrn

  • Moderador
  • *
  • Mensajes: 69
  • Liked: 44
    • http://calderonpale.com
Re:Directory Traversal en módems 2wire 4011G y 5012NV
« Respuesta #2 : enero 04, 2013, 01:03:43 am »
Pronto te comparto los datos de el número estimado de dispositivos disponibles, buen finding!

Puntito puntito diagonal strikes again!

 ;D

adiaz

  • *
  • Mensajes: 38
  • Liked: 24
Re:Directory Traversal en módems 2wire 4011G y 5012NV
« Respuesta #3 : agosto 23, 2013, 08:46:59 am »
Solo para compartir un script mejorado. Usé algunas recetas del libro de cldrn "Nmap 6: Network Exploration and Security Auditing Cookbook"  ;D.

Algunos cambios:
  • Abarca el caso general: busca la administración remota en puerto tcp 80 que esta abierto desde la LAN o cuando su firewall esta desactivado, si no la encuentra ahí busca un puerto tcp abierto entre el 2000 y 2999, ese puerto es aleatorio y su función principal es la de Petición de Conexión del protocolo TR-069, sin embargo deja expuesta la administración remota.
  • Si ya se conoce el puerto vulnerable, se puede forzar la ejecución del script usando +.
  • Obtiene información como dispositivos conectados y número de serie directamente de la página de inicio de la configuración.
  • Obtiene información de más archivos.
  • Muestra contraseñas conocidas de los usuarios root, tech, admin si estas no han sido cambiadas (muy poco probable que un usuario común lo haga por los pasos que hay que seguir para lograrlo). Además genera la contraseña del usuario rma, este usuario solo sirve para entrar por CLI, útil para ruteadores de otros ISP en el mundo.
  • Agregué una función experimental que intenta obtener la ubicación geográfica de un módem vulnerable usando la API de Geolocalización de Mapas de Google. Se envía el BSSID junto con la lista de dispositivos que se han conectado, si uno de esos dispositivos es o ha sido un Punto de Acceso podremos obtener coordenadas (radio-punto) muy exactas. Solo se muestran si el radio de incertidumbre es menor a 1500 metros. Se necesita una API Key activada para dicho servicio.
  • Argumentos para modificar el formato de la salida.
Ejemplo de uso:
Código: [Seleccionar]
nmap -p 8080 --script http-2wire-dtvuln --script-args h2d.geoapikey=<tu api key> 192.168.1.254
Ejemplo de salida cuando se obtienen las coordenadas:
Código: [Seleccionar]
PORT     STATE SERVICE
8080/tcp open  http
| http-2wire-dtvuln:
|   modem: 2wire 4011G-001 fw 9.1.1.16
|   serie: 09230A01230
|   mac: 00:25:3c:00:11:22
|   bssid: 00:25:3c:00:11:23
|   default_essid: INFINITUM1230
|   default_wepkey1: 1234567890
|   essid: MY_WIFI
|   wepkey1: 1111122222
|   wpapass: emptypass
|   wifisec: wep
|   ppp: user@prodigyweb.com:password
|   dispositivos:
|     00:19:e0:33:f2:01: TP-Link
|   usuarios:
|     tech: 1234567890
|     root: mickey
|     admin: 1234567890
|     rma: 7Fh34#sd
|   coords: 20.0,-90.0,23
|_  vuln_ip_port: 192.168.1.254:80
« Última Modificación: agosto 23, 2013, 08:48:42 am por adiaz »