jueves, febrero 09, 2012

AirOS vulnerables: ISPs en España sin actualizar

Voy a poneros en antecedente de un gran problema de seguridad que me he encontrado, mientras me leía el libro “Hacking con buscadores”, escrito por Enrique Rando, y publicado por Informática64. Como todo me lo leo con animo de aprender, llegue al capítulo de “Shodan” con ganas de descubrir los secretos de este gran proyecto, así que lo leí y rápidamente me compre unos créditos para bucear sin límites después de ver que se podían hacer cosas como gobernar el mundo con SNMP.

Como me dedico a los radioenlaces comencé a buscar hardware conocido para tal propósito, y enseguida recordé una vulnerabilidad conocida de los sistemas que integran AirOS de la compañía Ubiquiti. Resulta que en las versiones 3.6.1, 4.0, y 5.x de AirOS, se descubrió una vulnerabilidad por la que cualquier usuario remoto puede conseguir acceso con privilegios de administrador, y que fue publicada en Full Disclosure.

El caso es que yo que me decido a esto, e instalo estas soluciones, recibí varios correos del fabricante y de mi proveedor, para solventarlo a través de una actualización de firmware. Pero buscando en “Shodan”, no tarde en darme cuenta de que, de los 6123 resultados que me arroja sólo en España, seguro que habría alguien que borro el e-mail sin leerlo o que decidió no actualizar el firmware.

Figura 1: Sistemas AirOS en direcciones IP en España

Sólo he visto 240 resultado y ya hay 37 casos. Al acceder a dichos dispositivos, empecé a recabar información, ya que una vez dentro de la consola de administración se pueden lanzar unos cuantos comandos.

Figura 2: Es posible acceder a la consola de administración del sistema

Hacemos un “ls -a” et voilá… (hay muchos resultados, así que probar)

Figura 3: Respuesta de ejecución del comando

Por ejemplo con “cfg.cgi”, nos hacemos un backup de la configuración a nuestro equipo, así trabajamos más cómodos. Aunque podemos verlo de forma gráfica sin complicaciones.

Figura 4: Configuración de Wireless http://xxx.xx.xxx.xxx/link.cgi/sd.css

Figura 5:  Configuración PPPoE http://xxx.xx.xxx.xxx/network.cgi/sd.css

En cuestión de minutos se puede entrar en numerosos dispositivos, y rápido saltó la alarma. Resulta que estos AP llevan siendo instalados por proveedores de servicios ya bastante tiempo, y viendo su configuración es fácil darse cuenta de que donde estás realmente es en el AP que da servicio al cliente final.

En este caso un ayuntamiento de un pueblo en Murcia. Para entendernos, este dispositivo en concreto pertenece a “Servihosting.es”(o por lo menos la dirección IP y los datos PPPoE), y es el que está dando servicios de voz y datos desde un punto remoto. He comprobado ya la friolera de 7 compañías que tienen este problema como aeromax.es, dmsystems.es, econnect.es, etc… lo que multiplicado por un buen número de usuarios de cada uno de ellos podría dar lugar a un buen problema.

El atacante podría modificar lo que quisiera como por ejemplo las direcciones DNS, colocar un sniffer como ya he leído en algún post en Internet, modificar el port forwarding y ganar acceso a cualquier equipo en local, etc… Se puede ejecutar dhcp.cgi y arp.cgi para ver si tienen algún router detrás o cualquier equipo. Como en este caso en el que se ve claramente el Gateway VOIP que usan

El problema se agrava aún más si un mismo proveedor ofrece estos servicios en toda una provincia, ¿no creéis? Pues esto está pasando, y no solo a usuarios finales y empresa como veis, sino a instituciones públicas. Hace unos días que he llamado al responsable de dicho ayuntamiento para que lo solucionen.

Pero aquí está lo realmente grave. Me puse a enviar mails a los proveedores de servicios que encontré con esta vulnerabilidad, e incluso a llamar por teléfono para que solucionasen este fallo a mi entender muy grave, y ¿sabéis cuál ha sido la reacción? Han pasado dos semanas y nadie ha solucionado esto y sólo uno de ellos me ha mandado este mail que os copio aquí:
Servihosting.es  
Estimado XXXXXXX, gracias por ponerse en contacto con nosotros. Informarle que somos un operador Carrier-Carrier que proporciona servicios de tránsito a otros operadores por lo que en nuestro portfolio de productos no incluimos servicios Soho. Como bien sabrá en el tipo de servicios que ofrecemos no se contempla el filtrado de ningún tipo de tráfico. 
Todos los días recibimos cientos de notificaciones de diversos CERT, motores anti spam, etc las cuales reenviamos a nuestros clientes de todo el mundo.

Agradeciendo su ayuda, reciba un cordial saludo de Servihosting.
Por ese motivo le he pedido ayuda al más malvado de todos, y desde aquí le doy gracias por haber publicado estas líneas.

Nota: Se me olvido comentaros que en algunos dispositivos además de la vulnerabilidad sin parchear, están configurados con el usuario y la password por defecto (user:ubnt, pass:ubnt). Con proveedores así nos espera un fantástico futuro.

Autor: Gerard Norton

17 comentarios:

  1. Joer, pues vete a un cyber y ponte a formatear discos duros de forma remota.

    Verás cómo te hacen caso.

    ResponderEliminar
  2. Ahora que me acuerdo, y a colación de ISP's en España sin actualizar, hablando de Timófonica y SMNP con esto que te asignaban tu ip estática y que el user y pass de SMNP era el mismo para todos los routers commtrend, era sencillo dejar al de la tienda de informática sin internet, y ellos, llamando a Timofónica, y Timofónica sin poder acceder al router. DoS a Timofónica.

    ResponderEliminar
  3. Telefonica tiene fallo mas grande y lo oculta a los clientes

    iprouterclientes/password.cgi


    router cliente afectado mas de 15 modelos

    mirar algunos

    D-Link DSL-500B
    D-Link DSL-2640B
    Comtrend CT-5072
    Comtrend CT-5372
    Comtrend CT-5367
    Comtrend WAP-5813N
    Comtrend WAP-5813n
    Zyxel P-870HW-51A
    ZTE ZXV10 W300
    Ovislink 96338W
    ZXDLS 831IIV7.5

    ResponderEliminar
  4. el problema de telefonica lo publico hoyy s21sec lo estan usando para cambiar los dns de los clientes

    pero la timo cierra los ojos

    ResponderEliminar
  5. La verdad es que me parece increible la pasibidad de las operadores en cuanto a la seguridad de sus clientes. ¿Que organismo es el responsable de la seguridad que ofrecen los proveedores? Acabo de comprobar más de 20 casos de la vulnerabilidad que comentas en Timofónica. ONx y Jazzxxx tampoco se salvan de la quema, en concreto equipos como los Vigor 2100 de ONx, son vulnerables en todos los clientes por Telnet con los pass por defecto (admin, admin).

    ResponderEliminar
  6. Si a estos les unimos los problemas con el snmp (que viene de lejos) de los routers Zyxel de la serie 600, ¿qué router de telefonica está libre de "fallos"?

    ResponderEliminar
  7. Por mi experiencia, poco personal técnico está lo suficientemente cualificado o tiene el mas minimo interes en estas cosas... es una pena. Yo lucho todos los dias en mi empresa con mis compañeros y responsables pero nada... es frustrante.

    ResponderEliminar
  8. por poneros un ejemplo: cambiar los pass por defecto de los equipos o evitar permisos de administracion demasiado relajados son un quebradero de cabeza constante para mi... Es horrible trabajar asi

    ResponderEliminar
  9. que lastima que no se el login y password, asi puedo cambiar la isp ..

    ResponderEliminar
  10. Tipico de la escena informática en España, los jefes solo quieren cobrar pasta y les da igual las actualizaciones o protocolos de seguridad, ¿funciona? ¿estamos cobrando la cuota? pues entonces no necesita ningún mantenimiento

    ERROR hay veces que la mejor solución es la prevención, yo estuve trabajando en una empresa que montaba estos ubiquity y lo primero es que las antenas tenían IPs privadas a las que no se podía acceder desde fuera, (la IP pública se le daba al router del cliente) también hay que tomar otras medidas de seguridad que parecen chorras pero son necesarias, cambiar el puerto web por defecto así como el puerto SSH, centralizar los logs a través de un syslog para tener controlado los accesos y por supuesto estar al día con las actualizaciones de firmware, en fin, tendrá que pasar lo que pasa siempre en España para que solucionen las cosas: que el servicio se vaya al traste unos días y que tengan que gastar dinero en subir a los tejados para "recuperar" las antenas dañadas por los que sepan explotar la vulnerabilidad

    ResponderEliminar
  11. Pero de que sirve si no se puede cambiar nada ;(

    ResponderEliminar
  12. http://sequreisp.com/blog/posts/28?locale=es

    ResponderEliminar
  13. Podria contactar conmigo en este correo:
    javiclater@hotmail.com
    Se lo agradeceria tengo un problema de seguridad personal.

    Gracias.

    ResponderEliminar
  14. Bro y como lo hackeaste yo lo e intentado pero no se como abrir la consola de administracion del sistema

    ResponderEliminar