[CASO REAL] Vulnerabilidades replicadas: Un barrio al descubierto

Iniciado por rolo91, 2 Noviembre 2010, 17:45 PM

0 Miembros y 1 Visitante están viendo este tema.

rolo91

Lo primero es presentarme: Soy Rolo,  llevo bastante leyendo el foro en silencio, y he decidido salir del anonimato para compartir esto con vosotros. No creo que nadie mas o menos avanzado descubra mucho en mi paper, pero aun asi creo que es interesante como curiosidad.

No soy ni mucho menos un experto, asi que probablemente haya fallos o carencias en el texto, si se os ocurren ideas para mejorarlo o quereis señalar alguna incorreccion adelante, la idea es que aprendamos todos.

Antes que nada aclarar que esto no es un texto teorico, se ha puesto en practica en un entorno real, y por tanto todos los datos que en el aparecen estan censurados para proteger a las victimas originales. Todo lo descrito se ha hecho sin dañar ninguna maquina ajena y con el aprendizaje como unico fin.

Bien, vamos al lio:

En este texto voy a llamar la atencion sobre algo que mucha gente conoce, pero que creo que no se le presta demasiada atencion: La asignacion de IPS por nuestros proveedores.

Imaginemos que, por los motivos que fueran, un atacante quisiera atacar o husmear una serie de equipos que se encuentran en una zona fisica determinada (una misma calle, por ejemplo).

Normalmente en estos casos, "cercania fisica" siempre nos lleva a pensar "wifi"... pero no hace falta sacar el portatil y la antena a pasear, y menos ahora que se acerca el frio ; )

Hoy en dia, la mayoria de la gente que se conecta a internet lo hace a traves de un router, que tiene una  IP dinamica. Pero esa ip no va cambiando aleatoriamente, sino que lo hace dentro de un rango determinado. Ademas, ese rango suele ser compartido con otros routers que tengan contratada la misma compañia y esten en la misma zona fisica.

Vale muy bien, y que?

Pues, para que veais las implicaciones de esto, veamos un caso practico:

Como primer paso, obtengo la IP de un equipo del barrio/calle a ojear. Me servire de un amigo que se ofrecio voluntario, pero podria haber usado mi propia ip o la de alguien que obtengamos por los metodos tipicos (ingenieria social, cabeceras de mail, etc.).

Tiramos de nmap, y encontramos lo siguiente:



Vaya, la cosa pinta bien. Tenemos un router que por lo que nos cuenta una ojeada a google, es (o era) instalado por ono, y tiene pinta de estar bastante abierto

Y lo que es mas, un escaneo de vulnerabilidades por parte de nuestro amigo nessus revela lo siguiente:



O, dicho en cristiano: el router no solo tiene los puertos abiertos para una configuracion externa, sino que lleva el set usuario:password por defecto (nada:admin). Definitivamente mi amigo se merece una colleja...

Pues nada, tiremos para dentro:

El ftp nos da un acceso limitado a una carpeta con dos archivos, y el telnet nos da acceso a una consola con comandos algo limitados. Nos centraremos en acceder por el puerto 8080 desde el navegador, donde nos encontramos lo siguiente:



Bueno, las opciones son muy jugosas, como os podeis imaginar. Por resumir, su router ahora es nuestro ; )

Ahora bien, todo esto ha sido solo un tonteo en el router de nuestra victima verdad?

Ahora viene lo realmente importante:



Tiramos el nmap por un rango de ips cercanas al amigo:



Resultado?

22 ROUTERS CON EL MISMO ERROR GARRAFAL DE SEGURIDAD

Y estamos hablando de un rango de 255 ips, con lo que tenemos que casi 1 de cada 10 direcciones escaneadas tiene la misma vulnerabilidad!

A que se debe esto? Muy sencillo, probablemente toda esta gente,  al ser de la misma zona.  contrato su conexion a internet en la misma epoca (por una oferta, por una campaña comercial, o vayauste a saber), y por tanto tienen un equipo y configuracion muy similares.

Por si alguien se ha perdido, ahora  las cosas estan asi:

- Tenemos acceso pleno a 22 routers, aunque no a los ordenadores que hay detras.

- Sabemos que estan en la misma zona y tienen contratada la misma compañia.

Vamos a recopilar algunos datos de los routers comprometidos:

Para ello, accedemos por el navegador y echamos un ojo a la tabla DHCP. Esto nos permite, entre otras cosas, ver los nombres de los equipos que estan o han estado conectados en la red interna del router.

He aqui algunas de las piezas de informacion que se pueden encontrar:




Como podeis ver esto nos permite sacar nombres de los usuarios, deducir donde estamos accediendo  (esa segunda captura, por ejemplo, parece una tienda), y muchas cosas mas. En uno de los casos, el pc llevaba el nombre de la empresa a la que pertenecia, con lo que desde google se puede rastrear su direccion y datos.

Bien, voy a dejar el ataque aqui de momento, puesto que queda demostrado el uso que se le puede dar a la relacion  rangos ip - cercania fisica. 

Por si alguien se esta preguntando si este ataque podria dar mas de si, dejo algunas ideas para despejar dudas. Un atacante podria, por ejemplo:

- Tumbar el router y dejar a la victima sin conexion.

- "Actualizar" el router por TFTP con una version modificada del firmware, lo cual     permitiria por ejemplo convertir el router en un servidor FTP o IRC que usar para temas de netbots o lo que surja.

- Escanear remotamente las redes wifi de la zona, lo cual puede ser util para situar donde esta nuestra red exactamente.

- Activar el control parental del router y dejar a sus usuarios sin acceso a porno (aunque ni el peor de los hackers seria tan cruel : P ).

- Eliminar la proteccion WEP/WAP de la red inalambrica, para poder acercarnos con el portatil y entrar en la LAN sin necesidad de crackearla (y una vez en la LAN, los demas equipos conectados caerian mucho mas facilmente).

- Segun tengo entendido, se pueden redireccionar las conexiones usando DMZ a una ip interna (visible en la tabla dhcp) para atacar al equipo directamente desde internet.

- Usar los datos obtenidos para una buena gama de ataques de ingenieria social.


Y seguro que a otros lectores con mas conocimientos se les ocurren mas y mejores ideas...


Ah, y por quien nos pueda leer, aclarar que el fallo de seguridad descrito no es culpa ni de ono ni de draytec, sino de los usuarios que llevan desde 2006 sin actualizar y con la pass por defecto.

Si alguien quiere contactarme, podeis hacerlo aqui en el foro por privado.

Espero que os haya resultado interesante, un saludo ; )

kamsky

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

wACtOr

interesante, no sabia que las ip`s podian asignarse "por barrios". Pensaba que era de manera automatica. Luego cotilleare haber un par de redes haber como veo las ips.

Gracias.

[D4N93R]

"no sabia que las ip`s podian asignarse "por barrios"¨"

Si bueno, normalmente eso pasa , pero no es algo fijo ni una ley. Pero es muy muy común entre los ISP. Pero de todos modos si necesitas algo de eso, no puedes confiarte.

Sí y está todo bien explicado.

Un saludo, esperamos más cosas así en el foro!

Debci

Se me ocurre atacar furtiva y masivamente los routers con arp poisoning para infectar equipos por ejemplo.
Si tienes aceso a la parte de dentro de la red es realtivamente facil atacar.

Saludos

madpitbull_99

Buen post. Yo tampoco sabia que algunos ISP asignan las IP's por barrios, esta noche veré si mi proveedor lo hace xD



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

Novlucker

Si no fuera así sería muy difícil que alguno de esos localizadores que se encuentran en la red funcionen :P

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

rolo91

Gracias a todos por el feedback

Cita de: wACtOr en  2 Noviembre 2010, 20:40 PM
interesante, no sabia que las ip`s podian asignarse "por barrios". Pensaba que era de manera automatica. Luego cotilleare haber un par de redes haber como veo las ips.

Gracias.

Como ha dicho D4N93R, es mas una costumbre que una ley, no tiene por que ser siempre es asi. Lo que no se es por que se hace de esta forma,, supongo que sera por comodidad de gestion o algo asi.  Igual alguien que haya currado por alli nos puede sacar de dudas...
Cita de: Novlucker en  2 Noviembre 2010, 22:23 PM
Si no fuera así sería muy difícil que alguno de esos localizadores que se encuentran en la red funcionen :P

Saludos


Cierto, no se me habia ocurrido. Supongo que eso explica tambien su fiabilidad, digamos relativa XD
Cita de: Debci en  2 Noviembre 2010, 21:20 PM
Se me ocurre atacar furtiva y masivamente los routers con arp poisoning para infectar equipos por ejemplo.
Si tienes aceso a la parte de dentro de la red es realtivamente facil atacar.

Saludos
Si, no es mala opcion. El envenenamiento arp requiere estar dentro de la lan si no me equivoco no?


Debci

Citar
Cita de: Debci en  2 Noviembre 2010, 21:20 PM
Se me ocurre atacar furtiva y masivamente los routers con arp poisoning para infectar equipos por ejemplo.
Si tienes aceso a la parte de dentro de la red es realtivamente facil atacar.

Saludos
Si, no es mala opcion. El envenenamiento arp requiere estar dentro de la lan si no me equivoco no?
Asi es :)

Saludos

rolo91

sigo echando un ojo a las posibles opciones (en el router de mi amigo aprovechando que me deja, los otros mejor no trastear con ellos no vayamos a tener un disgusto xD)

Estoy mirando lo que comente del DMZ, que nunca lo habia probado en la practica, a ver si podeis aclararmelo vosotros:



Por lo que veo seria tan simple como ponerlo en enable, escoger uno de los pcs conectados al router y darle a ok para que el pc quedara atacable desde internet como si estuviera siendo atacado desde la red interna.

Hay algo que estoy pasando por alto? Afectaria esta configuracion a la posibilidad de usar el router del resto de los pcs de la LAN?