lunes, 13 de marzo de 2017

Cable Modems - 1 -


Vendor; Technicolor. -- DPC3928SL --

SNMP aun tiene mucho para contarnos. SNMP puede sorprender.

Esta vez para sumar a nuestra bolsa de hallazgos junto a @bertinjoseb, nos hemos topados con un community strings bastante curiosos para (en principio), los modelos de cablemodem DPC3928SL del VENDOR 'Technicolor'. 


NOTA. antes que llegado el caso lo comenten. la imagen es ilustrativa y corresponde al modelo DPC2420, pero dado a que comparte misma estructura fisica con el modelo DPC3928 y ademas fue la primara imagen que me devolvio google, es la que puse. 

Community strings 'CURIOSOS'
Cuando digo 'CURIOSO',  me refiero a cualquier community string que se le pase, menor a 255 caracteres de longitud, sera dado como valido, para 'loguearnos' y consultar SNMP.

Para la prueba de concepto me arme una pequeña tool, que (subi a github) para testar estos 'curiosos' Comunnity string







Si bien hasta acá estos dispositivos evidencia un problema importante de seguridad, el tema se complica aun mas.  



iso.3.6.1.2.1.1.4.0 = STRING: "(unknown)"
iso.3.6.1.2.1.1.5.0 = STRING: "CableHome"
iso.3.6.1.2.1.1.6.0 = STRING: "(unknown)"




iso.3.6.1.2.1.1.4.0 = STRING: "(unknown)"
iso.3.6.1.2.1.1.5.0 = STRING: "@capitan_alfa"
iso.3.6.1.2.1.1.6.0 = STRING: "(unknown)"

Para complicar un poco mas el tema como podremos observar, contamos con privilegios de escritura.


Esto nos pareció demasiado, y como no podia ser de otra forma, tal hallazgo le vale el CVE-2017-5135
(EN RESERVA, POR LO PRONTO).


SHODAN nos da una aproximación de alcance en números , para el vendor Technicolor:

Si profundizamos un poco daremos con otros modelos de la mis misma firma.  



BFC cablemodem reference design <<HW_REV: 01.00; VENDOR: Technicolor; BOOTR: 2.5.0alpha8; SW_REV: SC05.00.20; MODEL: TC7200.TH2v2>>

Technicolor CableHome Gateway <<HW_REV: 2.0; VENDOR: Technicolor; BOOTR: 2.3.1; SW_REV: STC7.05.21; MODEL: TC7110.B>>



Como comentario final,  que este mismo dispositivos también los provee también la firma Cisco. 




Saludos,
@Capitan_Alfa

1 comentario: