Lo primero es presentarme: Soy Rolo, llevo bastante leyendo el foro en silencio, y he decidido salir del anonimato para compartir esto con vosotros. No creo que nadie mas o menos avanzado descubra mucho en mi paper, pero aun asi creo que es interesante como curiosidad.
No soy ni mucho menos un experto, asi que probablemente haya fallos o carencias en el texto, si se os ocurren ideas para mejorarlo o quereis señalar alguna incorreccion adelante, la idea es que aprendamos todos.
Antes que nada aclarar que esto no es un texto teorico, se ha puesto en practica en un entorno real, y por tanto todos los datos que en el aparecen estan censurados para proteger a las victimas originales. Todo lo descrito se ha hecho sin dañar ninguna maquina ajena y con el aprendizaje como unico fin.
Bien, vamos al lio:
En este texto voy a llamar la atencion sobre algo que mucha gente conoce, pero que creo que no se le presta demasiada atencion: La asignacion de IPS por nuestros proveedores.
Imaginemos que, por los motivos que fueran, un atacante quisiera atacar o husmear una serie de equipos que se encuentran en una zona fisica determinada (una misma calle, por ejemplo).
Normalmente en estos casos, "cercania fisica" siempre nos lleva a pensar "wifi"... pero no hace falta sacar el portatil y la antena a pasear, y menos ahora que se acerca el frio ; )
Hoy en dia, la mayoria de la gente que se conecta a internet lo hace a traves de un router, que tiene una IP dinamica. Pero esa ip no va cambiando aleatoriamente, sino que lo hace dentro de un rango determinado. Ademas, ese rango suele ser compartido con otros routers que tengan contratada la misma compañia y esten en la misma zona fisica.
Vale muy bien, y que?
Pues, para que veais las implicaciones de esto, veamos un caso practico:
Como primer paso, obtengo la IP de un equipo del barrio/calle a ojear. Me servire de un amigo que se ofrecio voluntario, pero podria haber usado mi propia ip o la de alguien que obtengamos por los metodos tipicos (ingenieria social, cabeceras de mail, etc.).
Tiramos de nmap, y encontramos lo siguiente:
Vaya, la cosa pinta bien. Tenemos un router que por lo que nos cuenta una ojeada a google, es (o era) instalado por ono, y tiene pinta de estar bastante abierto
Y lo que es mas, un escaneo de vulnerabilidades por parte de nuestro amigo nessus revela lo siguiente:
O, dicho en cristiano: el router no solo tiene los puertos abiertos para una configuracion externa, sino que lleva el set usuario:password por defecto (nada:admin). Definitivamente mi amigo se merece una colleja...
Pues nada, tiremos para dentro:
El ftp nos da un acceso limitado a una carpeta con dos archivos, y el telnet nos da acceso a una consola con comandos algo limitados. Nos centraremos en acceder por el puerto 8080 desde el navegador, donde nos encontramos lo siguiente:
Bueno, las opciones son muy jugosas, como os podeis imaginar. Por resumir, su router ahora es nuestro ; )
Ahora bien, todo esto ha sido solo un tonteo en el router de nuestra victima verdad?
Ahora viene lo realmente importante:
Tiramos el nmap por un rango de ips cercanas al amigo:
Resultado?
22 ROUTERS CON EL MISMO ERROR GARRAFAL DE SEGURIDAD
Y estamos hablando de un rango de 255 ips, con lo que tenemos que casi 1 de cada 10 direcciones escaneadas tiene la misma vulnerabilidad!
A que se debe esto? Muy sencillo, probablemente toda esta gente, al ser de la misma zona. contrato su conexion a internet en la misma epoca (por una oferta, por una campaña comercial, o vayauste a saber), y por tanto tienen un equipo y configuracion muy similares.
Por si alguien se ha perdido, ahora las cosas estan asi:
- Tenemos acceso pleno a 22 routers, aunque no a los ordenadores que hay detras.
- Sabemos que estan en la misma zona y tienen contratada la misma compañia.
Vamos a recopilar algunos datos de los routers comprometidos:
Para ello, accedemos por el navegador y echamos un ojo a la tabla DHCP. Esto nos permite, entre otras cosas, ver los nombres de los equipos que estan o han estado conectados en la red interna del router.
He aqui algunas de las piezas de informacion que se pueden encontrar:
Como podeis ver esto nos permite sacar nombres de los usuarios, deducir donde estamos accediendo (esa segunda captura, por ejemplo, parece una tienda), y muchas cosas mas. En uno de los casos, el pc llevaba el nombre de la empresa a la que pertenecia, con lo que desde google se puede rastrear su direccion y datos.
Bien, voy a dejar el ataque aqui de momento, puesto que queda demostrado el uso que se le puede dar a la relacion rangos ip - cercania fisica.
Por si alguien se esta preguntando si este ataque podria dar mas de si, dejo algunas ideas para despejar dudas. Un atacante podria, por ejemplo:
- Tumbar el router y dejar a la victima sin conexion.
- "Actualizar" el router por TFTP con una version modificada del firmware, lo cual permitiria por ejemplo convertir el router en un servidor FTP o IRC que usar para temas de netbots o lo que surja.
- Escanear remotamente las redes wifi de la zona, lo cual puede ser util para situar donde esta nuestra red exactamente.
- Activar el control parental del router y dejar a sus usuarios sin acceso a porno (aunque ni el peor de los hackers seria tan cruel : P ).
- Eliminar la proteccion WEP/WAP de la red inalambrica, para poder acercarnos con el portatil y entrar en la LAN sin necesidad de crackearla (y una vez en la LAN, los demas equipos conectados caerian mucho mas facilmente).
- Segun tengo entendido, se pueden redireccionar las conexiones usando DMZ a una ip interna (visible en la tabla dhcp) para atacar al equipo directamente desde internet.
- Usar los datos obtenidos para una buena gama de ataques de ingenieria social.
Y seguro que a otros lectores con mas conocimientos se les ocurren mas y mejores ideas...
Ah, y por quien nos pueda leer, aclarar que el fallo de seguridad descrito no es culpa ni de ono ni de draytec, sino de los usuarios que llevan desde 2006 sin actualizar y con la pass por defecto.
Si alguien quiere contactarme, podeis hacerlo aqui en el foro por privado.
Espero que os haya resultado interesante, un saludo ; )