Menú
* Asociación
* Actividades
* Servicios
* Portal de empresas
* Listas de correo
* Canal de IRC
* Wiki
* Bugzilla
* Webmail
* Estadísticas (webalizer)
AsturGoogle
Buscar en AsturLiNUX con Google

Esta página cumple con el estandar HTML 4.01 estricto

Esta página cumple con el estandar CSS

 

Archivos de Lista de Correo de AsturLiNUX

[AsturLinux] Vulnerabilidades del router 3Com 812

[AsturLinux] Vulnerabilidades del router 3Com 812

Write haof XML files: Manuel Angel Fernandez <rastreador_at_gmx.net>
Fecha: mié 16 may 2001 - 11:11:20 CEST

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Como me imagino que muchos tendreis el 3Com pues aqui os paso esto.

_____________________________________________________________________

                        Vulnerabilidades del router 3Com 812

    Lo que aqui voy a relatar es un fallo de un router bastante conocido
    en España. El texto que en principio estaba escrito a lo bestia y
    recien descubierto el fallo, lo voy a intentar estirar un poco más y
    así poder explicarlo a la gente 'nueva' interesada en estos temas, a
    ver si lo españoles o por lo menos los maños ;-) le damos un poco de
    vida en castellano a esto de la investigación... o contrainvestigacion
    :-P. Lo que esta claro es que nada de esto lo comparto para joder a
    nadie, esta claro que me podria divertir mucho con todos estos señores
    malos que se desprotegen el router, le cambian la contraseña, le
    quitan los filtros y se dedican a escanear dominios en busca de probar
    lo que en tal o cual ¿"tutorial"? le enseñan a hacer (si, lo cierto es
    que el 'net' da mucho juego con estos señores ;). Bueno, el caso, este
    texto lo difundo porque no me creo que 3COM(p) o Allegro lo
    desconocieran (y sin embargo no han dicho nada), tambien me parece
    curioso que Telefonic(a) tubiera hasta hace poco especial interes en
    instalar un router con un software especialmente antiguo para el
    2000-2001 (el Allegro-Software-Rompager 2.10), ¿muchas unidades a bajo
    precio? por caracteristicas y marca el 3COM deberia ser al menos el
    doble de caro que el SpeedStream.... bueno........, y aparte de todo
    esto, no se, de alguna manera hay que agradecer a todo el mundo del
    que has aprendido cosas el haberlas aprendido, y eso no se hace
    callandote las que descubres. ¿La pena? No volver a poder joder al
    cabron del tipo que sestaba intentando meter en mi FTP (bufffff.....
    mencantan los nombres chungos, FXP'ers o algo asi?
    XDDDDDDDDDDDDDDDDDDD). Bueno, el caso es que aqui teneis un fallo de
    la vida real, que lo podeis probar en casa, os puede dar pie a
    investigar otras cosas, y eso seria cojonudo. Adelante :-P

    • OVERVIEW

    ROUTER: 3COM OfficeConnect 812 (el blanco con hub de 4 puestos de la
    Timofonica :P) Fallo en el servidor de HTTP (puerto 80 TCP). -
    Allegro-Software-Rompager v.2.10

    • HARDWARE

    Seguro que se utilizara varios routers más, o automatas u otros
    aparatos puesto que la marca no se dedica a la construccion de
    servidores gansos ni nada asi sino a los aparatejos configurables via
    HTTP. Bueno, lo mejor es que mireis la pagina del fabricante del
    software (no del firmware, sino de la parte que actua de servidor de
    web).

    http://www.allegrosoft.com

    • PROBLEMA

    Bien, el problema es parte de 3COM y parte de los autores del
    servidor. ¿Porque digo esto?. Intentar buscar una parte desprotegida
    en el SpeedStream. Quiero decir, intentar buscar un GIF, un HTM, un
    archivo que sepais que esta ahí, pero..... upsssssss.... os pide
    password. Bien buscar uno que no os la pida. No, ¿verdad?. ¿Os habeis
    fijado lo que pone cuando metes mal la password?. Una simple y llama
    linea ni siquiera siguiendo el HTTP, texto puro, que pone no se que
    historias de que mala autentificacion (no tengo el router a mano
    ahora). Bien, el 3COM comete un fallo. Intentar meteros....... os pide
    password, y la fallais... cojonudo, os sale una preciosa pagina web
    que pone que ese objeto esta protegido.... bien, echemos un vistazo a
    su html:

    // Ya de primeras me parece chungo lo de una NMI en un router......
    bueno...... pasando.....

    <IMG SRC="/graphics/sml3com" BORDER="0" WIDTH="80" HEIGHT="72">

    // Primera cosa graciosa........ tenemos acceso al archivo sml3com...
    bueno, de hecho tenemos acceso a todo el /graphics entero, aunque no
    estemos autentificados. (esto es fallo por supuesto de 3COM).

    <IMG SRC="/Images/gif_logo" ALT="logo" HEIGHT=60 >

    // A /Images tambien tenemos acceso

    ¿Que quiere decir todo esto? Que se nos han dejado ficheros con acceso
    con los cuales quiza podamos hacer algo. Lo primero que se me ocurre
    es probar a ver a que más tenemos acceso a simple vista........
    /Images, /graphics....

    Bueno, ni en graphics ni en Images encuentro nada a la primera.
    Joder... miro el primer GIF, el sml3com XDDDDDDDDDDDDD..........
    bueno, para buen inri tiene 666 bytes XDDDDDDDDDDDDDD joder, se merece
    una intentona, no? XDDDDDDDDDDDDDDDD probemoslo.

    http://192.168.1.254/graphics/sml3com
    Justo,.... aparece el GIF en pantalla

    Sigamos probando...
    http://192.168.1.254/graphics/sml3com%%f1
    The requested URL '/graphics/sml3com%%C3%B1' was not found on the
    OfficeConnect server Algo sacaremos de ahi algun dia con menos petas
    encima XDDDDDDDDDDDDDDDD

    http://192.168.1.254/graphics/../../../0000000000000000000000000000000
    00000000000000000000000000000000000 El router no muestra nada, pasa de
    nosotros. Bueno, es lo mejor que puede hacer XDDDDDDDDDDD

    Ale pues con las tipicas "s"
    http://192.168.1.254/graphics/sml3com%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
    s%s%s%
    s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
    s%s%s% s%s%s%s%s%s%s%s

    Uhm...... se lo piensa....... parece que lo de siempre................
    coñoooooooo.............. el router ha petao :-)... luces rojas.......
    luces de todos colores....... router a tomar por saco.........
    Curioso, solo lo hace cuando tiene un archivo con acceso delante.
    Vamos... la culpa de la imprudencia es de 3COM por el diseño de la web
    interna del bicho, y la culpa del bug esta claro que de los de
    allegro.... sigamos....

    http://192.168.1.254/images/../filterSummary%S%S%S%S%S%S%S%S%S%S%S%S%S
    %S%S%S
    %S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S
    %S%S%S
    %S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S

    Esta claro..... con cualquier peticion de algo que exista con un
    cadenon detras, el bicho peta...

    1 hora mas tarde.......... continué viendo los nombres de los archivos
    en mi router con mi clave y probandolos en el FXPero (lo siento, pero
    a estas horas de la noche ya tengo la cabeza echa polvo XDDDDDDDD)

    Encontramos otro fallo de seguridad.......... joder esta gente son la
    leche....... no necesitamos password para entrar aqui :-)
    http://192.168.1.254/adsl_pair_select Warning! Changing the pair
    setting resets the line. When the line resets all currently active
    remote site connections are dropped. // Tiene cojones, ademas nos
    avisa ;-)

    Y por ultimo ya, antes de echarme a sopar.......... me encuentro con
    esto......... http://192.168.1.254/adsl_reset

    Resetting the ADSL line causes the modem to renegotiate the ADSL level
    connection. Warning! If you reset the line all currently active remote
    site connections will be dropped.

    // Sin comentarios ;-)

    • EXPLOITS

    http://192.168.1.254/adsl_reset
    http://192.168.1.254/adsl_pair_select
    http://192.168.1.254/graphics/sml3com%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
    s%s%s%
    s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
    s%s%s% s%s%s%s%s%s%s%s

    • RESOLUCION DEL PROBLEMA

    Que yo sepa no se le puede actualizar el soft de HTTP, el RomPager,
    asi que a joderse y a poner filtros que para algo están ;-). Aquel que
    necesite configurar el router remotamente, y desde IP's
    diferentes........ pues puede poner un filtro que no deje pasar
    ninguna IP de ningun sitio remoto hacia el puerto 80, y añadir un
    puerto en la NAPT, que no se escanee facilmente, por ejemplo cualquier
    del 10000 al 65535, y reconfigurao para que todo lo que entre en el
    10000 de TCP por ejemplo, lo tenga que rutar al 127.0.0.1 (loopback)
    al 80... o a la IP local que tenga el router, al 80. El que solo lo
    vaya a configurar desde su ordenador, que ponga filtros al 80 y punto.
    Como consejillo........ preveo algun fallo en el escuchador del RIP,
    asi que de consejillo os dejo que pongais un filtro que no deje pasar
    ninguna IP (ojo, ni por TCP ni por UDP)..... y tras eso ya veremos si
    al RIP le afecta eso ;))

    Siento no extenderme más pero....... tengo que acabar una
    web.......... talego! :P

    Like always... Not Copyrighted by UnMateria'01
    Contacto: ix_lsd@hotmail.com (no me como a nadie, pero tampoco
    respondo a todo el mundo ;)

    Cualquier duda, a los foros.
    Creado por UnMateria para http://www.bandaancha.st

-----BEGIN PGP SIGNATURE-----
Version: N/A

iQA/AwUBOwI2KbEg7io9ACPAEQIiEQCgx+xjkpZWiZSu7QcYLSwQEH45bUYAoIKB
bxeuq3PYmi0yUhLOF7jGRk31
=f+EY
-----END PGP SIGNATURE-----

_______________________________________________
asturlinux mailing list
asturlinux@asturlinux.org
http://www.asturlinux.org/cgi-bin/mailman/listinfo/asturlinux
Nearby Wed May 16 11:23:52 2001

Esta página ha sido generada automáticamente como parte del archivo de listas de correo de AsturLiNUX (http://www.asturlinux.org).

Página creada y mantenida por Diego Berrueta Muñoz y por Pablo López Cienfuegos, publicada bajo una licencia Creative Commons.