[GRAVE] Escala de privilegios routers Comtrend ( telefonica y jazztell )

[kcdtv]

En 2011 indranil banerjee  desvelo un falló enorme sobre  COMTREND ADSL Router BTC(VivaCom) CT-5367 C01_R12

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Y hace poco,  mas de lo mismo sobre otro modelo, desde tunisia esta vez,

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

En ambos Se puede "bypasear" la pop-up que pide credenciales en la pasarela y acceder al código fuente de la interfaz  dónde salen en texto encriptado en base 64 los password.
El procedimiento es  muy sencillo

Si rencontramos en 2014 en tunisia un fallo de 2011 en india o no se que,
¿Porque no mirar si tenemos este falló aquí con el router de fibra óptica telefonica : El WAP-5813n comtrend ( a/b/g/n - gigabit - WLAN_XXXX _ 00:1A:2B:XXXXXX)?

que sea por telnet o http estamos bloqueados y nos pide credenciales

[GRAVE] Escala de privilegios routers Comtrend ( telefonica y jazztell )

Pero si intentamos en la pagina password.cgi mediante http ... milagro nos deja entrar

[GRAVE] Escala de privilegios routers Comtrend ( telefonica y jazztell )

basta con examinar el código para ver los credenciales

Con nada mas ni menos que telnet ssh ftp y http accesibles con privilegios de administrador para un peligro máximo y al alcance de un niño     ...

Código: [Seleccionar]

sudo nmap 192.168.1.1
[sudo] password for kukurukukupaloma:

Starting Nmap 6.46 ( http://nmap.org ) at 2014-06-16 01:06 CEST
Nmap scan report for 192.168.1.1
Host is up (0.0045s latency).
Not shown: 996 closed ports
PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
23/tcp open  telnet
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 4.65 seconds
acojonante...     

ahora podemos ver las características y la versión de firmware

[GRAVE] Escala de privilegios routers Comtrend ( telefonica y jazztell )

y nos damos cuenta que son versiones de firmware y software completamente diferentes pero que el fallo persiste

Yo creo que todos los routers comtrend de aquí, y mas allá, tienen el mismo  fallo 

Lo suyo sería que los que tengan un comtrend miren si es así y que versión de software-firware se emplea

Es muy probable que todo esto esconde un buena puerta trasera permitiendo un control a distancia desde el ISP... y otros elementos... 
 

Visto la magnitud de la brecha les aconsejo pedir un cambio de router ya si tienen un comtrend


-----------------------------------------------------------------------------------------------------

MODELOS-FIRWARE/SOFTWARE INCRIMINADOS [/color

Author: TUNISIAN CYBER
Exploit Title: Comtrend CT 5361T Password Disclosure Vulnerability
Date: 07-04-2014
--------------------------------------------------------------------------------------------
CT 5361T (more likely CT CT 536X)
Software Version: A111-312SSG-T02_R01
Wireless Driver Version: 4.150.10.15.cpe2.2
-------------------------------------------------------------------------------------------



Author: indranil banerjee
Exploit Title: COMTREND ADSL Router BTC(VivaCom) CT-5367 C01_R12 Remote Root
Date: Saturday, April 16, 2011
-------------------------------------------------------------------------------------------
CT-5367
Board ID    : 96338A-122
Software    : A111-312BTC-C01_R12
Bootloader  : 1.0.37-12.1-1
Wireless Driver : 4.170.16.0.cpe2.1sd
-------------------------------------------------------------------------------------------



Author: Probably known since a long time, reported by kcdtv for lampiweb.com
Exploit Title: WAP-5813n password disclosure
Date: 17-06-2014
-------------------------------------------------------------------------------------------
> modelname
HW version : WAP-5813n
Board ID:    96369R-1231N
Software Version:    P401-402TLF-C02_R35
Bootloader (CFE) Version:    1.0.37-102.1-5
Wireless Driver Version:    5.10.120.0.cpe4.402.9
-------------------------------------------------------------------------------------------




Author: Probably known since a long time, reported by Skywatcher for lampiweb.com
Exploit Title: Comtrend CT-5365 password disclosure
Date: 17-06-2014
-------------------------------------------------------------------------------------------
> modelname
HW version : CT-5365
Board ID:    96348A-122
Software Version:    A131-302JAZ-C01_R02.A2pB021g.d15h
Bootloader (CFE) Version:    1.0.37-0.8-1
Wireless Driver Version:    3.91.41.0
-------------------------------------------------------------------------------------------

[psychys]

Vaya brecha mas grande entonces las jazztel_xxxx con COMTREND tambien podian ser afectadas por esto que hace falta solo la puerta del router.

[kcdtv]

Es que ni quierro pensar en la de dsipositivos comtrend potencialmente afectados 
fíjate que tenemos seguro cosas tan distintas como versiones de software
 
A111-312SSG-T02_R01
 A111-312BTC-C01_R12 < por lo menos 12 revisiones afectadas diría
Software Version:    P401-402TLF-C02_R35 y 23 más


Todo esto sobre varias ramas ya que tenemos A111 y P401...

a nivel de hardware un rango extenso potencialmente en peligro  entre dos identifcantes de placas

96338A-122 
96369R-1231N
 
Respecto a España estoy convencido que los que router comtrend con el diseño de la pagina de configuración así

[GRAVE] Escala de privilegios routers Comtrend ( telefonica y jazztell )

Pues, estos routers corren peligro tanto los WLA_XXXX de telefonica que los de JAZZTEL

[SkyWatcher]

Respecto a España estoy convencido que los que router comtrend con el diseño de la pagina de configuración así

Pues, estos routers corren peligro tanto los WLA_XXXX de telefonica que los de JAZZTEL

Pues no te equivocas.

JAZZTEL_XXXX con mac 64:68:0C

[GRAVE] Escala de privilegios routers Comtrend ( telefonica y jazztell )

[GRAVE] Escala de privilegios routers Comtrend ( telefonica y jazztell )

[kcdtv]

Visto Skywatcher.
 Pues... modifico el titulo un poco porque gracias a lo que reportas esta mas que claro que no solo se habla de timo y del WAP-5831n.
  Me parece que la pregunta va a ser más bien :
¿Que modelo COMTREND no esta afectado por esta brecha de seguirdad?   


PD : Para poner los datos bien  completos, sería excelente si me darías el modelo.
Si podrías entrar por telnet  y ejecutas el comando

Código: [Seleccionar]

modelname y si puedes pegar y copiar el resultado aquí
 
PD2: Y si no es mucho pedir, si puedes poner un copiado pegado de esto ( para que haga un copiado-pegado y no hacer errores al escribir  )

[GRAVE] Escala de privilegios routers Comtrend ( telefonica y jazztell )

PD 3 : podrías mirrar que puertos y servicios tiene abiertos?

Código: [Seleccionar]

nmap 192.168.1.1

saludos 

[psychys]

Que caos y jazztel acaba de sacar otro nuevo modelo de comtred una pregunta que tengo con que herramientas tienen la brecha estos routers aunque ya tenían brecha de antes mediante wps o diccionario algunos.

[kcdtv]

No sabemos mas de lo que hay en las herramientas del foro
Tienen su lista de bssid y modelos soportados.
Respecto a WPS, WPSPIN probara los PIN genéricos conocidos primero así que si el PA lleva un PIN genérico saldrá enseguida 
Si lo haces desde windows usas PIN_GUI y mira los PIN genéricos que hay
y luego puedes generar el pass wpa por defecto con la GUI WLAN_JAZTELL_XXXX


Pero hablemos de lo que es WPS en hilo WPS, de lo que es WPA en hilos WPA y ya hay unos cuentos hilos sobre routers jaztell ya abiertos

En el foro hacking hablamos de hackear el router, las brechas de sguridades, fallos en las interfaces, escalas de privilegios, acesso remoto, puertas traseras etc...
No de wireless o de ataque por diccionario o de brute force WPS   
saludos

[chus]

Lo de password.cgi se conoce desde hace mas de un año y gracias a las actualizaciones online del router, está parcheado.

Buscad en google por password.cgi

Saludos

[kcdtv]

Me parece que esta bien claramente explicado en inicio de hilo que se conoce desde 2011....
Si tienes mas información - mas modelos - descubrimientos anteriores etc puedes participar poniendo unos links/unos datos. 
 

[chus]

Disculpa. En ningun momento mi intencion era desacreditar tu post sino advertir mas bien que en dispositivos con clave de admin gestionada por telefonica el bug ya no esta presente debido a la autoactualizacion. 

Saludos

[kcdtv]

No hay que disculparse para nada
Gracias por explicarnos esto
Hay una cosa que no me ha quedado claro:
Acabo de probar lo en un router ayer.
Entonces deduzco que no son todos los firmware que tienen la auto-actualización o que el pache no es para todo lo modelos o que interviene a partir de cierta revisión...

mas bien que en dispositivos con clave de admin gestionada por telefonica

Estos son los que pasan por el portal alejandria ¿no?
En este caso quedaría ver si poniendo el puerto :8000 u otra cosa no se entra en la configuración comtrend  del router ...

[SkyWatcher]

PD : Para poner los datos bien  completos, sería excelente si me darías el modelo.
Si podrías entrar por telnet  y ejecutas el comando

Código: [Seleccionar]

modelname y si puedes pegar y copiar el resultado aquí

PD 3 : podrías mirrar que puertos y servicios tiene abiertos?

Código: [Seleccionar]

nmap 192.168.1.1
saludos 

Por supuesto:

Código: [Seleccionar]

Board ID: 96348A-122
Software Version: A131-302JAZ-C01_R02.A2pB021g.d15h
Bootloader (CFE) Version: 1.0.37-0.8-1
Wireless Driver Version: 3.91.41.0

Por telnet no he encontrado el comando que dices, estas son las opciones que hay disponibles, pero he entrado en todas y no veo el comando "modelname" por ninguna parte..

[GRAVE] Escala de privilegios routers Comtrend ( telefonica y jazztell )

El nmap no lo tengo instalado, pero mañana con mas tiempo lo bajo y hago la prueba que me indicas.

Saludos!

[kcdtv]

gracias skywacher, actualizare el primer post

[maripuri]

Puedes probar con

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

y si te rula evitas bajada e instalación