Vulnerabilidad en router Pirelli de Arnet, permite obtener la clave WPA

Eduardo Novella (aka Ednolo) ha publicado un completo análisis de ingeniería reversa a router Pirelli ADB P.DG-A4001N utilizado por Arnet Argentina y Movistar en España, en donde se puede ver una vulnerabilidad que permite obtener la contraseña WPA utilizada por defecto por el router.

Según informa Ednolo en su post, luego de reportar varias veces el bug a Pirelli y Arnet, decidió hacer Full Disclosure debido a la poca nula relevancia que le dieron ambas empresas a la vulnerabilidad.

Ante todo comenta que estos routers son vulnerables al acceso remoto no autorizado y no autenticado y permiten que cualquiera pueda visualizar el código HTML del router desde una IP pública. El HTML puede descargarse sin ninguna restricción y esto fue reportado como CVE-2015-0554.
Como puede verse en el video, utilizando un simple comando curl/wget al archivo wlsecurity.html (otros archivos), se puede obtener la contraseña WPA:

$ curl -s http://${IP_ADDRESS}/wlsecurity.html | grep -i "var wpapskkey"
var wpaPskKey = 'IsAklFHhFFui1sr9ZMqD';
$ curl -s http://${IP_ADDRESS}/wlsecurity.html | grep -i "var WscDevPin"
var WscDevPin = '12820078';

Para recuperar el algoritmo de generación de claves WPA, Ednolo realizó ingeniería reversa sobre la biblioteca MIPS (/lib/private/libcms.core) sobre algunos routers Pirelli argentinos. El firmware se extrajo mediante el uso de Binwalk y firmware-mod-kit, montado en un sistema local y analizado con IDA Pro.

Finalmente, luego de todo el proceso, Ednolo publicó una Prueba de Concepto en su repositorio Bitbucket. El script en Python se puede utilizar para analizar el router propio y verificar si es vulnerable. Esta vulnerabilidad tiene asignado el CVE-2015-0558 y, según Ednolo, ni Pirelli ni Arnet han dado respuesta a sus correos y avisos.

Cristian de la Redacción de Segu-Info