22.11.2015 | 12:22

Adam Haertle

Tylna furtka w tylnej furtce we wszystkich modemach Arrisa

Przyzwyczailiście się już do tylnych furtek w domowych ruterach? My ciągle jeszcze nie potrafimy zrozumieć dlaczego producenci tych urządzeń nadal uważają, że zdalny dostęp dla każdego to bardzo dobry pomysł.

Masz zaproszenie na ciekawą konferencję i nie masz żadnego pomysłu na prezentację? Weź dowolny domowy ruter lub modem i zajrzyj do jego oprogramowania a coś się na pewno znajdzie. W ten właśnie sposób brazylijski haker zlokalizował tylną furtkę w tylnej furtce prawdopodobnie wszystkich modemów firmy Arris, swojego czasu popularnych również w polskich sieciach kablowych.

Hasło dnia i administratora

Bernardo wiedział, że modemy Arrisa posiadają tylną furtkę, czyli funkcję umożliwiającą dostęp do powłoki modemu osobie znającej specjalne „hasło dnia”. Algorytm jego generowania oczywiście został dość szybko ustalony i od 2009 roku nie był dla nikogo tajemnicą. Arris nie uważał tego za problem, między innymi dlatego, ze dostęp umożliwiał głównie uruchomienie narzędzi diagnostycznych, nie dając pełnej kontroli nad urządzeniem. Tylna furtka polega na tym, że najpierw trzeba zalogować się do interfejsu modemu „hasłem dnia”, by odblokować nieudokomentowany interfejs WWW dla techników pod adresem

http://192.168.100.1/cgi-bin/tech_support_cgi

Następnie należy włączyć dostęp przez telnet i SSH. Potem jest już z górki – wystarczy podać właściwe hasło przy logowaniu i otrzymuje się dostęp do powłoki o ograniczonych uprawnieniach.

Ekran logowania

Ekran logowania

Kiedy jednak Bernardo przyjrzał się fragmentowi kodu odpowiedzialnemu za obsługę tej znanej tylnej furtki, znalazł w niej furtkę nieznaną. Jeśli podacie podczas logowania inne hasło, oparte o 5 ostatnich cyfr numeru seryjnego modemu, otrzymacie od razu dostęp do pełnej wersji powłoki.

Dwie tylne furtki

Dwie tylne furtki

Bernardo przekazał swoje odkrycie dostawcy, który poprosił o wstrzymanie się z publikacją informacji o algorytmie generowania tego drugiego hasła i obiecał aktualizację oprogramowania. Haker miał trochę czasu i fantazję, zatem napisał keygena w starym stylu i nagrał demonstrację tylnej furtki w akcji:

Na filmie najbardziej (oprócz odpowiedniej ściezki dźwiękowej) podobała się nam metoda omijania zapisów licencji (zapewne nie pozwalającej na inżynierię wsteczną):

> Bypassing EULA...
> EULA served over HTTP
> MiTMing EULA to include permissive clauses...
> EULA bypassed using technique [1]

Trzeba przyznać że to wyśmienity pomysł (choć pewnie prawnicy się nie zgodzą). Przy okazji jego publikacji odezwał się inny badacz, który udostępnił niezwykle wyrafinowaną technikę podnoszenia uprawnień  w ograniczonej powłoce. W skrócie wygląda ona tak:

Enter password>
 
Spawning ARRIS Console
 
Firmware Revision:      7.5.125
[  1] Console> system
[  2] System> ping ;sh
ping -I wan0 ;sh
BusyBox v1.15.2 (2014-06-23 08:08:11 EDT) multi-call binary
 
Usage: ping [OPTIONS] HOST
 
BusyBox v1.15.2 (2014-06-23 08:08:11 EDT) built-in shell (ash)
Enter 'help' for a list of built-in commands.
 
# cat /etc/shadow
root:$1$xQWhDWOr$FYNAc2DuT2Q45OY7s2R43/:10063:0:99999:7:::
Jedyny komentarz

Jedyny komentarz

Podatne na te błędy są prawdopodobnie wszystkie modele modemów – a przynajmniej każdy sprawdzony przez autora odkrycia. Arris ma wkrótce opublikować aktualizacje, jednak trochę potrwa, zanim znajdzie się ona na Waszych modemach, ponieważ nowe oprogramowanie musi najpierw przejść cała procedurę testów u operatora, który modemami zarządza. Co tu dużo mówić – jeśli macie modem Arrisa to upewnijcie się, że nie jego interfejs WWW nie jest dostępny z zewnętrznej adresacji oraz że nie jest dostępny pod domyślnym adresem IP 192.168.100.1 (ewentualne automatyczne ataki wykorzystujące lokalne skrypty JS będą go tam szukać).

Powrót

Komentarze

  • 2015.11.22 13:02 dziad

    Nie zawiodłem się i znalazłem tu ten ostatni obrazek. Dziękuję :)

    Odpowiedz
  • 2015.11.22 13:37 dafq

    Ciekawe co na to Vectra, Multimedia i inni operatorzy którzy używają modemów docsis własnie tej firmy? :)

    Odpowiedz
    • 2015.11.22 19:07 chesteroni

      To akurat nietrudno zgadnąć, co oni na to:
      %@#@$@R$ #@*%)@$! $%@$@$%% ..rwa!
      (naprawdę brzydkie wyrazy zamieniłem na znaki specjalne ;-) )

      Odpowiedz
  • 2015.11.22 13:55 ToJa

    A gdyby tak producent oparł mechanizm takiego technicznego backdoora o mechanizm podpisu cyfrowego?

    Odpowiedz
  • 2015.11.22 16:35 Piotr

    Multimedia wcisnela ostatnio moim rodzicom cudo tej marki. Wielkoscia przypomina mini desktopa lub akumulator 12v tragedia normalnie. Nie bylo go jak ukryc w szkrzynce IT. Kiedy juz go schowalem za szafa to okazalo ze nie ma panelu admina tylko logowanie przez strone ebok i mozliwoscia zmiany 6 opcji m. in. jak ssid, haslo i kanal. Brak slow normalnie.

    Odpowiedz
    • 2015.11.22 19:30 0rpr0h4x

      „nie ma panelu admina”
      Polecam się pobawić, w moim modemie od multimedii też teoretycznie nie było :D

      Odpowiedz
  • 2015.11.22 16:48 zwykły noob

    ale jakieś protipy co zrobić, żeby modem nie był dostępny z zewnętrznej adresacji oraz żeby nie był dostępny pod domyślnym adresem IP 192.168.100.1, to byś dał. jak nie za rekę, krok po kroku, to chociaż jakieś wskazówki do wyszukiwarki

    Odpowiedz
  • 2015.11.22 20:08 ronsld

    Ciekawi mnie czy to samo jest z tym routerem rozdawanym przez CP?
    abload.de/img/router48qhz.jpg

    Odpowiedz
  • 2015.11.22 22:58 hackerberry

    W vectrze tez nie ma oficjalnie palelu a jest :)

    192.188.100.0

    Odpowiedz
  • 2015.11.23 09:34 duza MI

    Forum zdzisława dyrmy zostało zwiniete z sieci TOR i pod adresem http://zdzichtfwlcpejle.onion/ pojawia sie tylko jego oswiadczenie. podobno to nie milicja, ale jak on to okreslil „nie bylo z kim gadac” .

    Odpowiedz
  • 2015.11.24 11:13 Bartek

    Trzeba będzie wieczorem przetestować :) Niestety jestem posiadaczem tego badziewia.. co gorsza to jeszcze plik z konfiguracją jest zaciągany z serwera dostawcy..

    Odpowiedz
  • 2015.11.24 12:21 Lukasz

    Adresu IP 192.168.100.1 nie da się zmienić – modem zawsze jest dostępny po tym adresie od strony interfejsu ETH/USB. Jeśli chodzi o dostęp z zewnątrz (od strony interfejsu HFC), jego konfiguracja jest przesyłana w pliku konfiguracyjnym dla modemu (po tftp) i tutaj także nie ma możliości zmiany – jeśli taka opcja nie jest zdefiniowana w prost w pliku to domyślnie jest ona wyłączona.

    Odpowiedz

Zostaw odpowiedź do Piotr

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Tylna furtka w tylnej furtce we wszystkich modemach Arrisa

Komentarze