Pessoal,
Nesta postagem eu vou apresentar uma análise do roteador KP8696X da Kross.
Observações:
A configuração padrão de fábrica do dispositivo foi utilizada em todos os testes.
- Firmware: 1.00.06 (Versão de fábrica)
- IP padrão: 192.168.1.254
- Endereço MAC: XX:XX:XX:XX:17:97 (lembrar dos 2 últimos bytes)
- Senha padrão: admin / <vazio>
Análise Inicial
O primeiro passo da análise dinâmica foi realizar uma varredura de portas no dispositivo. A figura 01 apresenta as portas TCP encontradas abertas no roteador.
 |
| Figura 01: Portas abertas TCP (Nmap) |
Podemos verificar a existência de três serviços sendo executados:
- Porta 23/TCP: Serviço de Telnet habilitado por padrão no dispositivo.
- Porta 80/TCP: Aplicação web padrão de controle do roteador
- Porta 5431/TCP: Servidor UPnP (Universal Plug and Play)
Levantamento de informações com Telnet
O segundo passo da análise dinâmica foi acessar o serviço de Telnet encontrado na etapa
anterior. O serviço pode ser acessado utilizando a senha padrão: “admin/<vazio>”. A figura 2
apresenta o acesso inicial ao serviço de Telnet e o menu de comandos.
 |
| Figura 02: Acesso ao serviço de Telnet |
A partir do acesso obtido através de Telnet, é possível obter diversas informações sobre o
roteador. A figura 3 apresenta as conexões TCP existentes no dispositivo (podemos confirmar
os resultados obtidos na varredura de portas e também encontramos um segundo serviço de
UPnP rodando na porta 55001/TCP).
 |
| Figura 03: Listando conexões TCP |
Conta de Backdoor em serviço de Telnet
O roteador apresenta uma segunda credencial utilizada com a conta “admin”. Através do comando “login show”, podemos ver a senha padrão (em texto claro) utilizada: “1797airocon”.
 |
| Figura 04: Senha "secreta" de administrador |
Esta senha é utilizada por uma conta “secreta” de administrador (backdoor) no roteador. A figura 5 mostra um trecho do arquivo de configuração obtido na aplicação web do roteador. Podemos ver a presença de duas contas “admin” (segunda conta tem o atributo “BACKDOOR” com valor 0x1)
 |
| Figura 05: Conta de backdoor no roteador |
A senha de backdoor é gerada dinamicamente utilizado os últimos quatro números do endereço MAC do roteador. Eu acabei realizando o mesmo teste com outro exemplar do roteador e comprovei a utilização dos últimos dígitos do endereço MAC para gerar a senha de backdoor. Esta informação seria facilmente obtida através de uma simples requisição ARP ou realizando um ataque de força-bruta. A figura 06 demonstra a conta de backdoor em um segundo dispositivo.
Nesta postagem eu apresentei a primeira parte de uma análise realizada no roteador KP8696X da Kross. A versão v1.00.06 do firmware apresenta o serviço de Telnet habilitado por padrão e uma conta de backdoor habilitada no dispositivo. O fabricante foi informado em novembro de 2015. O novo firmware (v1.00.07) foi lançado em Janeiro de 2016.
Keep Hacking :)
 |
| Figura 06: Conta de backdoor no segundo roteador |
Conclusão
Nesta postagem eu apresentei a primeira parte de uma análise realizada no roteador KP8696X da Kross. A versão v1.00.06 do firmware apresenta o serviço de Telnet habilitado por padrão e uma conta de backdoor habilitada no dispositivo. O fabricante foi informado em novembro de 2015. O novo firmware (v1.00.07) foi lançado em Janeiro de 2016.
Keep Hacking :)
