11 ene. 2015

Vulnerabilidad en router Pirelli de Arnet, permite obtener la clave WPA

Eduardo Novella (aka Ednolo) ha publicado un completo análisis de ingeniería reversa a router Pirelli ADB P.DG-A4001N utilizado por Arnet Argentina y Movistar en España, en donde se puede ver una vulnerabilidad que permite obtener la contraseña WPA utilizada por defecto por el router.

Según informa Ednolo en su post, luego de reportar varias veces el bug a Pirelli y Arnet, decidió hacer Full Disclosure debido a la poca nula relevancia que le dieron ambas empresas a la vulnerabilidad.

Ante todo comenta que estos routers son vulnerables al acceso remoto no autorizado y no autenticado y permiten que cualquiera pueda visualizar el código HTML del router desde una IP pública. El HTML puede descargarse sin ninguna restricción y esto fue reportado como CVE-2015-0554.
Como puede verse en el video, utilizando un simple comando curl/wget al archivo wlsecurity.html (otros archivos), se puede obtener la contraseña WPA:

$ curl -s http://${IP_ADDRESS}/wlsecurity.html | grep -i "var wpapskkey"
var wpaPskKey = 'IsAklFHhFFui1sr9ZMqD';
$ curl -s http://${IP_ADDRESS}/wlsecurity.html | grep -i "var WscDevPin"
var WscDevPin = '12820078';

Para recuperar el algoritmo de generación de claves WPA, Ednolo realizó ingeniería reversa sobre la biblioteca MIPS (/lib/private/libcms.core) sobre algunos routers Pirelli argentinos. El firmware se extrajo mediante el uso de Binwalk y firmware-mod-kit, montado en un sistema local y analizado con IDA Pro.

Finalmente, luego de todo el proceso, Ednolo publicó una Prueba de Concepto en su repositorio Bitbucket. El script en Python se puede utilizar para analizar el router propio y verificar si es vulnerable. Esta vulnerabilidad tiene asignado el CVE-2015-0558 y, según Ednolo, ni Pirelli ni Arnet han dado respuesta a sus correos y avisos.

Cristian de la Redacción de Segu-Info

4 comentarios:

  1. Esto mismo se lo reporte a Arnet y a un expleado del sector de seguridad de Arnet, a lo que me respondieron " los equipos solo pueden ser accedidos desde la red de arnet,en el caso que asi fueses, vas te contratas 1 mes arnet y accedes a todos los equipos del bloque de red que te toco, fin.

    ResponderEliminar
  2. ¿Funciona tambien el fallo de autentication en Argentina tambien como en España?

    ResponderEliminar
    Respuestas
    1. Fácil saberlo: si tienes Arnet has una petición a las URLs brindadas en el post

      Eliminar
  3. No tengo Arnet. No soy ni vivo en Argentina. Alguien puede confirmarlo?

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!