Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Routers ADSL Livebox de España revelan SSID y contraseña Wifi


Se han detectado escaneos activos originados en una IP de Telefónica en busca de routers de Orange que responden a las peticiones HTTP a /get_getnetworkconf.cgi con el nombre SSID de la red WiFi y su contraseña en texto plano. Se da la circunstancia que en la mayoría de casos la clave WiFi también lo es de la administración del router, lo que permite acceder a el y cambiar la configuración. De las algo más de 30.000 IPs analizadas, 19.000 respondían con esta información.







Más de 19,000 módems Orange Livebox ADSL están filtrando sus credenciales de WiFi


El viernes 21 de diciembre de 2018, honeypots observaron una exploración interesante que consistía en una solicitud GET para /get_getnetworkconf.cgi. Tras una investigación adicional, encontramos que este tráfico estaba dirigido a los módems ADSL de Orange Livebox. Existe una fallo en estos módems que permite a los usuarios remotos no autenticados obtener el SSID y la contraseña de WiFi del dispositivo.


Una simple solicitud GET para "/get_getnetworkconf.cgi" revelará las credenciales WiFi del módem Orange Livebox en texto plano.


GET http://192.168.1.1/get_getnetworkconf.cgi


<html>
<body>
Orange-SSID<BR>
PASSWORD<BR>
255.255.255.0<BR>
192.168.1.1<BR>
0<BR>
WPA<BR>
<BR>
</body>
</html>
Para evaluar la cantidad de dispositivos vulnerables a esta falla, obtuvieron una lista de módems Orange Livebox de Shodan.

De los 30,063 hosts IPv4 encontrados, nuestros análisis revelaron:


  • 19,490 filtrando sus credenciales WiFi (SSID / contraseña) en texto plano
  • 2.018 sin filtrar ninguna información, pero todavía expuestos a Internet
  • 8.391 no responde a nuestros scans


Muchos de los dispositivos que pierden su contraseña de WiFi usan la misma contraseña para administrar el dispositivo (reutilización de la contraseña) o no han configurado ninguna contraseña personalizada, por lo que las credenciales "admin / admin" predeterminadas de fábrica aún se aplican.

Ejemplo de página de estado del módem Livebox



Los módems Livebox mal asegurados permiten a los usuarios remotos ver el número de teléfono del cliente, el nombre / la dirección MAC de todos los clientes conectados y más.

Esto permite que cualquier usuario remoto acceda fácilmente al dispositivo y modifique maliciosamente la configuración del dispositivo o el firmware. Además, pueden obtener el número de teléfono vinculado al módem y realizar otros ataques graves detallados en este repositorio de Github.




Como era de esperar, se encontró que la gran mayoría de los dispositivos afectados estaban en la red de Orange Espana (AS12479).

Total de modems de Livebox afectados



Fuente de escaneo inicial

La exploración inicial de los módems ADSL de Livebox se detectó en 81.38.86.204

La exploración inicial detectada por nuestros honeypots provino de 81.38.86.204 que es una dirección IP asociada a un cliente de Telefónica España. Si bien solo podemos adivinar cuál fue el motivo detrás de estas exploraciones, es interesante descubrir que la fuente está físicamente más cerca de los módems ADSL de Livebox afectados que el de un actor de amenazas en otro país. Esto podría permitirles conectarse a la red WiFi (SSID) si estuvieran cerca de uno de los módems indexados por sus exploraciones.

Observaciones finales

Debido a la naturaleza sensible de esta falla, las direcciones IP de los módems ADSL de Orange Livebox afectados no se publicarán públicamente, sin embargo, está disponible para que los equipos de aplicación de la ley y CERT puedan revisarlos. Hemos compartido nuestros hallazgos directamente con Orange Espana, Orange-CERT y CCN-CERT para una mayor investigación y remediación.

Orange-CERT ha reconocido el informe y está investigando más.

CVE-2018-20377 se ha asignado para la falla descrita en esta publicación.

De los creadores de "CGNAT no ofrece seguridad alguna", toma 918320198:

badpackets.net/over-19000-orange-livebox…credentials/
On Friday, December 21, 2018, our honeypots observed an interesting scan consisting of a GET request for /get_getnetworkconf.cgi. Upon further investigation, we found this traffic was targeting Orange Livebox ADSL modems. A flaw exists in these modems that allow remote unauthenticated users to obtain the device’s SSID and WiFi password.
[...]
Unsurprisingly, the vast majority of affected devices were found to be on the network of Orange Espana (AS12479).


Fuentes:
https://bandaancha.eu/foros/routers-adsl-livebox-espana-revelan-ssid-1733594
https://badpackets.net/over-19000-orange-livebox-adsl-modems-are-leaking-their-wifi-credentials/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.