quarta-feira, 1 de junho de 2016

Hacking IoT: Roteador Kross KP8696X (Parte 02)

Pessoal,

Nesta postagem eu vou continuar a análise do roteador KP8696X da Kross.

Resumo da parte 01:
  1. Serviço de Telnet habilitado por padrão (23/TCP)
  2. Conta secreta de administrador (Backdoor) presente no dispositivo.
  3. Senha de backdoor = 4 últimos números do endereço MAC + string "airocon"
Link para a primeira parte: Kross KP8696X (Parte 01)

Explorando o serviço de TFTP

O comando "show processes" no serviço de Telnet apresenta todos os processos sendo executados no dispositivo (a figura 01 demonstra a existência de um serviço de TFTP sendo executado no roteador por padrão).

Figura 01: Lista de processos sendo executados
A figura 02 apresenta os arquivos de configuração sendo utilizados pelo roteador.

Figura 02: Arquivos de configurações
Podemos utilizar o serviço de TFTP para realizar o download destes arquivos (figura 03). O serviço de TFTP não exige autenticação do usuário (portanto os arquivos de configurações podem ser obtidos remotamente por qualquer usuário da rede local).

Figura 03: Obtendo arquivo de configuração
A figura 04 apresenta o conteúdo do arquivo de configuração “wscd.conf”. Este arquivo contém informações sensíveis como as senhas da rede sem fio (WPA/WPA2), a senha do servidor web e número de PIN (WPS).

Figura 04: Arquivo de configuração "wscd.conf"

Analisando o servidor web

O servidor Telnet apresenta um comando "show web” que permite listar os arquivos utilizados pelo servidor web. A figura 05 apresenta alguns dos arquivos presentes na aplicação web do roteador.

Figura 05: Paginas do servidor web
Um script em python foi criado para acessar diretamente todas páginas listadas pelo comando ‘show web’. A figura 06 mostra que algumas páginas de configurações do servidor web podem ser acessadas sem autenticação (Ex: um atacante pode acessar a página ‘wizard_setup.htm’ sem autenticação e alterar informações como o ESSID e a senha do roteador).

Figura 06: Páginas de configurações acessadas sem autenticação

Conclusão

Nesta postagem eu apresentei a segunda parte de uma análise realizada no roteador KP8696X da Kross. Principais pontos identificados nesta análise:

  1. Serviço de TFTP rodando por padrão: Arquivo de configuração do roteador (contendo informações sensíveis como credenciais) pode ser obtido sem autenticação por qualquer usuário na rede local. 
  2. Falta de autenticação no servidor web: Diversas páginas de configuração do roteador podem ser acessadas diretamente sem autenticação no servidor web.

A versão v1.00.06 do firmware apresenta o serviço de Telnet habilitado por padrão e uma conta de backdoor habilitada no dispositivo. O fabricante foi informado em novembro de 2015. O novo firmware (v1.00.07) foi lançado em Janeiro de 2016.

Keep Hacking :)

Nenhum comentário:

Postar um comentário