CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
-
Upload
websec-mexico-sc -
Category
Technology
-
view
601 -
download
11
description
Transcript of CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
![Page 1: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/1.jpg)
Explotación masiva de vulnerabilidades en ruteadores
Pedro Joaquín Hernández
C A M P U S P A R T Y 2 0 1 4
![Page 2: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/2.jpg)
Contenido
• Herramientas para escanear todo IPv4
• Botnets de ruteadores
• Vulnerabilidades actuales
• Como mejorar la seguridad de nuestro ruteador
![Page 3: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/3.jpg)
Herramientas para escanear todo IPv4Zmap, MasScan
![Page 4: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/4.jpg)
Introducción al escaneo masivo
• Nmap es la herramienta que todos siguen utilizando.
• Dnmap te permite realizar escaneos distribuidos.
• Zmap te permite escanear todo el rango ipv4 en una hora.
• Masscan requiere hardware adicional, escanea todo Internet en 3 m.
![Page 5: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/5.jpg)
Zmap - http://zmap.io
• Creado por la Universidad de Michigan
• Puede escanear un puerto de todo IPv4 en 45 minutos
• Sigue activo su desarrollo en github
• Un solo paquete SYN por host a max 1.4 M por segundo :O
![Page 6: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/6.jpg)
Zmap vs Nmap
Tipo de escaneo Cobertura normalizada Duración Tiempo estimado por todo Internet
Nmap (default) 0.978 45:03 116.3 días
Nmap (1 probe) 0.814 24:12 62 días
ZMap, 2 probes 1.000 00:11 2:12:35
ZMap, (default) 0.987 00:10 1:09:45
Tipo de escaneo Parámetros utilizados
Nmap (default) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000
Nmap (1 probe) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000 –max-retries 0
ZMap, 2 probes zmap –P 2 –p 443
ZMap, (default) zmap –p 443
![Page 7: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/7.jpg)
MASSCAN – Todo Internet en 3 minutos
• Según ellos puede escanear todo IPv4 en 3 minutos• https://github.com/robertdavidgraham/masscan
• Para sobrepasar los 2 M de paquetes por segundo requiere una tarjeta Ethernet Intel 10-gbps y el driver “PF_RING DNA”
• Velocidad máxima de 25 Millones de paquetes por segundo
• Encrypted monotonically increasing index
masscan 0.0.0.0/0 -p443 --rate 25000000
![Page 8: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/8.jpg)
Algunos motivos para comprometer ruteadores
• 1. Dinero
Pharming, Bots para clicks en ads, stressers / booters
• 2. Poder
Bots para DDoS, Intercepción de información, Localización
• 3. Diversión
Escanear todo internet, Aprender sobre dispositivos embebidos
![Page 9: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/9.jpg)
La NSA hackea ruteadores desde hace mucho
El catálogo de ANT publicado en diciembre 2013 muestra variasvulnerabilidades explotadas por la NSA en ruteadores:
• HEADWATER Huawei
• SCHOOLMONTANA Juniper J-Series
• SIERRAMONTANA Juniper M-Series
• STUCCOMONTANA Juniper T-Series
![Page 10: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/10.jpg)
Botnets de RuteadoresInternet Census 2012 o Carma Botnet – 420,000 ruteadores
Ejemplo de creación de botnet de forma drive by
![Page 11: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/11.jpg)
Internet Census 2012 – Carma Botnet
• “four simple stupid default telnet passwords can give you access to hundreds of thousands of consumer as well as tens of thousands of industrial devices all over the world.”
• Botnet “no maligna” utilizada para escanear todo Internet
• Utilizó 420,000 dispositivos para escanear 730 puertos
• Velocidad de hasta 4.2 millones de IPs por segundo
• El reporte contiene más de 9 TB de datos
![Page 12: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/12.jpg)
420 Millones
respondieron
al Ping
![Page 13: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/13.jpg)
![Page 14: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/14.jpg)
![Page 15: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/15.jpg)
Dominios – Carma Botnet
Cantidad TLD
374670873 .net
199029228 .com
75612578 .jp
28059515 .it
28026059 .br
21415524 .de
20552228 .cn
17450093 .fr
17363363 .au
17296801 .ru
16,910,153 .mx
Cantidad Dominio TLD
61327865 ne jp
34434270 bbtec net
30352347 comcast net
27949325 myvzw com
24919353 rr com
22117491 sbcglobal net
18639539 telecomitalia it
17480504 verizon net
16467453 com br
16378853 ge com
15743176 spcsdns net
15081211 com cn
14023982 t-dialin net
13,421,570 com mx
![Page 16: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/16.jpg)
SubDominios – Carma Botnet
Cantidad Subdominio Dominio TLD
16492585 res rr com
16378226 static ge com
15550342 pools spcsdns net
14902477 163data com cn
14023979 dip t-dialin net
12268872 abo wanadoo fr
11685789 business telecomitalia it
11492183 ocn ne jp
10,192,958 prod-infinitum com mx
![Page 17: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/17.jpg)
SubDominios .mx – Carma Botnet
Cantidad SubSubDominio Subdominio Dominio TLD
10,192,958 prod-infinitum com mx
577,483 dyn cableonline com mx
208,147 static avantel net mx
157,059 static metrored net mx
![Page 18: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/18.jpg)
Drive-by Router Botnet PoC - Websec
• Combinando una puerta trasera con la posibilidad de ejecución de comandos en la interfaz web de un ruteador es posible comprometer ruteadores de manera masiva con solo visitar una página web.
* La vulnerabilidad de la puerta trasera ha sido parchada
![Page 19: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/19.jpg)
![Page 20: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/20.jpg)
Vulnerabilidades actualesSNMP / UPNP / DNS / NTP
![Page 21: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/21.jpg)
![Page 22: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/22.jpg)
Estadísticas de SNMP – Errata Security
• Protocolo de administración de dispositivos
• Robert Graham en octubre 2013
• GET sysName y sysDescr
masscan 0.0.0.0/0 -pU:161 --banners
![Page 23: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/23.jpg)
Estadísticas de SNMP – Errata SecurityCantidad SysName
288176 CableHome
145375 TD5130123819 Unknown
119946 Broadcom108174CHT
79667 unnamed
48492 Innacomm36876 KWS-1040G
28779 DSL-2640B
27768 P-660R-T127447 router
25229 WA3002G424178 ADSL
22738 ADSL
20528 Speedy19828 Telefonica
18884 D-Link18384nobrand17136 DSL-2500U
15755 Beetel13175 Sprint
12374 Siemens
12032 RTL867x11782 DNA-A211-I
10971 unknown9738USR9111
Cantidad SysDescr
189979P-660HW-D1
132290Software Version 3.10L.01122354Linux WNR1000v2 2.6.15
79667ucd-snmp-4.1.2/eCos74816P874S5AP_20120106W
74654Linux ADSL2PlusRouter 2.6.19
74435Technicolor CableHome Gateway
73785CBW700N
65439System Description55851Thomson CableHome Gateway52248Wireless ADSL Gateway41910Hardware
39351Linux ADSL2PlusRouter 2.6.1938372Ubee PacketCable 1.5 W-EMTA
31197Netopia 3347-02 v7.8.1r230728P-660HW-T1 v228390Apple Base Station V3.84 Compatible28311GE_1.0727017ZXV10 W300
![Page 24: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/24.jpg)
Estadísticas de dispositivos vulnerables UPnP– ZMap (11/02/13)
15.7 millones de direcciones IP accesibles remotamente UPnP
16.5% de 15.7 M
2.56 millones tienen Intel UPnP vulnerable
+817,000 tienen MiniUPnP vulnerable
Un par de horas es lo que se requiere para comprometer todos los
+3.4 millones de hosts
![Page 25: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/25.jpg)
Internet Wide Scan Data Repository
https://scans.io/ :
• University of Michigan · HTTPS Ecosystem Scans
• University of Michigan · Hurricane Sandy ZMap Scans
• Rapid7 · Critical.IO Service Fingerprints
• Rapid7 · SSL Certificates
• Rapid7 · Reverse DNS
![Page 26: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/26.jpg)
Critical.IO Service Fingerprints – Rapid7
• El proyecto critical.io descubría vulnerabilidades en todo IPv4
• Fue llevado a cabo de mayo 2012 a marzo 2013
• Se puede encontrar la información diaria en https://scans.io/study/sonar.cio
![Page 27: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/27.jpg)
/rom-0 en 2014
• En Enero 2014 Team Cymru publicó un estudio donde exponen una red de
•300,000 ruteadores infectados con DNS Pharming
• La principal vulnerabilidad utilizada fue la decompresióndel archivo /rom-0 del servidor RomPager
![Page 28: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/28.jpg)
![Page 29: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/29.jpg)
![Page 30: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/30.jpg)
Router DNS Amplification DDoS
24 Millones de
ruteadores
con open DNS proxies
En Febrero 2014 más de
5.3 Millones fueronutilizados para atacar
![Page 31: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/31.jpg)
Router NTP Amplification DDoS
“~7 million insecurely-configured NTP servers on the Internet, including services embedded in routers, layer-3 switches, and consumer broadband CPE devices”
http://www.arbornetworks.com/asert/2014/02/ntp-attacks-welcome-to-the-hockey-stick-era/
![Page 32: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/32.jpg)
![Page 33: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/33.jpg)
![Page 34: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/34.jpg)
![Page 35: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/35.jpg)
![Page 36: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/36.jpg)
Herramientas gratuitas para mejorar la seguridad de nuestro ruteador
![Page 37: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/37.jpg)
Que es una Puerta Trasera?
• Método de acceso que puede ser utilizado para evadir políticas de seguridad. (Microsoft)
• Método de acceso no documentado.
• Comúnmente olvidado por los desarrolladores.
• Frecuentemente es implementada a propósito y ocultada por los fabricantes.
Administración expuesta a Internet
Funciones / Interfaces redundantes
Parámetros ocultos
Cuentas comunes
Configuración expuesta
![Page 38: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/38.jpg)
Lista de puertas traseras comunes de México
Marca Modelo Puerta trasera Acceso remoto
Parche del ISP7/5/2014
Detecciónpor DPT
Huawei HG5xxx Archivo de configuración con contraseña Si Si Si
Huawei HG5xxx Generación de WEP en base a MAC Si No No
Alcatel-Lucent I-240-W Cuenta de administración oculta Si Si Si
Alcatel-Lucent I-240-W Generación de WPA en base a MAC Si No Si
Technicolor TG582n Cuenta de administración oculta Si No Si
TP-Link WDR740 URL de administración oculta No No Si
Huawei HG824x Cuenta de administración oculta Si No No
Ubee HG824x Cuenta de administración oculta Si No No
Arris Varios Cuenta de admin con password del día Si No No
Varias Varios Cuentas comunes de administración Si
![Page 39: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/39.jpg)
Detector de Puertas Traseras v2.0 - Websec
![Page 40: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/40.jpg)
Routerpwn 1.16.229 - Websec
![Page 41: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/41.jpg)
Y ahora el momento que algunos estaban esperando…
![Page 42: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/42.jpg)
Generador de clave WIFI para ONT Alcatel-Lucent I-240W-Q
![Page 43: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/43.jpg)
![Page 44: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/44.jpg)
Auditoría de dispositivos embebidos
• Revisión de código fuente
• Auditoría de vulnerabilidades del servidor y aplicativo Web
• Auditoría de vulnerabilidades en HNAP, UPNP, SSH
• Identificación de puertas traseras en diferentes protocolos
Tenemos experiencia realizando estos servicios:
![Page 45: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/45.jpg)
Auditoría de HW de dispositivos embebidos
• Identificación de componentes electrónicos
• Comunicación por interface GPIO, SPI, I2C, JTAG, etc.
• Extracción del contenido de la memoria
• Análisis de vulnerabilidades del firmware extraído y desempacado
• Emulación de código para dispositivos embebidos MIPS
![Page 46: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/46.jpg)
Explotación masiva de vulnerabilidades en ruteadores
Pedro Joaquín Hernández
@_hkm
www.websec.mx
www.hakim.ws
www.underground.org.mx
![Page 47: CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín](https://reader030.fdocument.pub/reader030/viewer/2022013118/5595a1eb1a28ab19448b47e3/html5/thumbnails/47.jpg)
Referencias
• https://zmap.io/paper.pdf
• http://nominum.com/news-post/24m-home-routers-expose-ddos/
• http://community.rapid7.com/servlet/JiveServlet/download/2150-1-16596/SecurityFlawsUPnP.pdf
• http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.html
• http://internetcensus2012.bitbucket.org
• https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welcome-to-project-sonar
• https://www.owasp.org/images/a/ae/OWASP_10_Most_Common_Backdoors.pdf
• http://www.hakim.ws/2012/12/puerta-trasera-en-fibra-optica-alcatel-lucent-de-infinitum/
• http://www.hakim.ws/2013/01/puerta-trasera-en-technicolor-tg582n/
• http://www.websec.mx/advisories/view/puerta-trasera-tplink-wdr740