quarta-feira, 4 de maio de 2016

Hacking IoT: Roteador Kross KP8696X (Parte 01)

Pessoal,

Nesta postagem eu vou apresentar uma análise do roteador KP8696X da Kross.

Observações:

A configuração padrão de fábrica do dispositivo foi utilizada em todos os testes.
  • Firmware: 1.00.06 (Versão de fábrica)
  • IP padrão: 192.168.1.254
  • Endereço MAC: XX:XX:XX:XX:17:97 (lembrar dos 2 últimos bytes)
  • Senha padrão: admin / <vazio>


Análise Inicial


O primeiro passo da análise dinâmica foi realizar uma varredura de portas no dispositivo. A figura 01 apresenta as portas TCP encontradas abertas no roteador.

Figura 01: Portas abertas TCP (Nmap)
Podemos verificar a existência de três serviços sendo executados:
  1. Porta 23/TCP: Serviço de Telnet habilitado por padrão no dispositivo.
  2. Porta 80/TCP: Aplicação web padrão de controle do roteador
  3. Porta 5431/TCP: Servidor UPnP (Universal Plug and Play)

Levantamento de informações com Telnet


O segundo passo da análise dinâmica foi acessar o serviço de Telnet encontrado na etapa anterior. O serviço pode ser acessado utilizando a senha padrão: “admin/<vazio>”. A figura 2 apresenta o acesso inicial ao serviço de Telnet e o menu de comandos. 

Figura 02: Acesso ao serviço de Telnet
A partir do acesso obtido através de Telnet, é possível obter diversas informações sobre o roteador. A figura 3 apresenta as conexões TCP existentes no dispositivo (podemos confirmar os resultados obtidos na varredura de portas e também encontramos um segundo serviço de UPnP rodando na porta 55001/TCP).

Figura 03: Listando conexões TCP

Conta de Backdoor em serviço de Telnet


O roteador apresenta uma segunda credencial utilizada com a conta “admin”. Através do comando “login show”, podemos ver a senha padrão (em texto claro) utilizada: “1797airocon”.

Figura 04: Senha "secreta" de administrador
Esta senha é utilizada por uma conta “secreta” de administrador (backdoor) no roteador. A figura 5 mostra um trecho do arquivo de configuração obtido na aplicação web do roteador. Podemos ver a presença de duas contas “admin” (segunda conta tem o atributo “BACKDOOR” com valor 0x1)

Figura 05: Conta de backdoor no roteador
A senha de backdoor é gerada dinamicamente utilizado os últimos quatro números do endereço MAC do roteador. Eu acabei realizando o mesmo teste com outro exemplar do roteador e comprovei a utilização dos últimos dígitos do endereço MAC para gerar a senha de backdoor. Esta informação seria facilmente obtida através de uma simples requisição ARP ou realizando um ataque de força-bruta. A figura 06 demonstra a conta de backdoor em um segundo dispositivo.

Figura 06: Conta de backdoor no segundo roteador

Conclusão


Nesta postagem eu apresentei a primeira parte de uma análise realizada no roteador KP8696X da Kross. A versão v1.00.06 do firmware apresenta o serviço de Telnet habilitado por padrão e uma conta de backdoor habilitada no dispositivo. O fabricante foi informado em novembro de 2015. O novo firmware (v1.00.07) foi lançado em Janeiro de 2016.

Keep Hacking :)

5 comentários:

  1. Sou leigo em linux. Teria como repassar os comandos utilizados neste tutorial.

    ResponderExcluir
  2. Como fazer para colocar senha no roteador??
    Não é a do wireless.

    ResponderExcluir
  3. Como fazer para colocar senha no roteador??
    Não é a do wireless.

    ResponderExcluir
  4. Amigo, tem como disponibilizar a atualização do firmware? Enviei email para a empresa, mais nada de resposta...

    ResponderExcluir