Vulnerabilidades de Arnet WiFi

Advisory ID Internal
CORE-2010-0715

1. Información sobre esta Advertencia de Seguridad

Title: Vulnerabilidades de Arnet WiFi
Advisory Id: CORE-2010-0715
Advisory URL: https://www.coresecurity.com/advisories/vulnerabilidades-Arnet-wifi
Date published:  2010-12-01
Date of last update: 2010-11-26
Vendors contacted: Telecom Argentina
Release mode: User release
Authors: Andrés Blanco

2. Información sobre las vulnerabilidades

Class: Improper Neutralization of Input during Web Page Generation (Cross Site Scripting) [CWE-79], Improper Access Control (Authorization) [CWE-285], Use of Hard-coded Credentials [CWE-798], Use of a Broken or Risky Crytographic Algorithm [CWE-327]
Impact: Security bypass
Remotely Exploitable: Yes
Locally Exploitable: No
CVE Name: CVE-2010-2893CVE-2010-2894CVE-2010-2895CVE-2010-3265
Bugtraq ID: N/AN/AN/AN/A

3. Descripción general de las vulnerabilidades

*Please note: This advisory was written in Spanish because it only affects users of Arnet, part of Telefonica de Argentina, a telephone company that provides comunications and internet access in Argentina. This advisory is related to firmware in wireless routers that where modified by Arnet.

Una combinación de vulnerabilidades y debilidades en la configuración por defecto de algunos modelos de dispositivos de red usados por Arnet WiFi para proveer servicio de Internet ADSL con soporte para redes locales inalámbricas deja sus usuarios expuestos a ataques informáticos. Mediante la explotación de las vulnerabilidades descritas es posible obtener las credenciales de acceso al servicio y otra información confidencial de los usuarios vulnerables. La ejecución exitosa de un ataque sólo requiere que el usuario vulnerable haga clic en un link aparentemente inocuo o que visite un sitio web controlado total o parcialmente por el atacante.

4. Versiones Afectadas

  • Equipos Pirelli DRG A125G provistos a clientes de Arnet Wifi
  • Otras marcas y modelos de equipos provistos por Arnet podrían estar afectados pero esto no ha sido verificado.

5. Versiones No Afectadas

  • Información no disponible a la fecha de publicación

6. Información del proveedor, soluciones y recomendaciones

Telecom Argentina no ha dado ninguna información sobre cómo solucionar los problemas de seguridad descritos en este documento a los que están expuestos sus usuarios y no hay ningún indicio de un plan para hacerlo. Clientes de Arnet WiFi potencialmente vulnerables pueden contactarse directamente con el Centro de Atención al Cliente de Arnet vía telefónica al 0800-555-9999 o a través de su página web de soporte.
Es recomendable aplicar los siguientes cambios a la configuración del módem ADSL-WiFi para reducir el riesgo a ataques que exploten las vulnerabilidades descritas en este documento:

  • Cambiar el nombre de la red inalámbrica (SSID)
  • En Opciones Avanzadas-Seguridad WiFi cambiar el método de autenticación a WPA2-PSK
  • En Opciones Avanzadas-Seguridad WiFi cambiar el método de encripción a PSK:AES
  • Deshabilitar la transmisión de SSID marcando la casilla Ocultar el nombre de la red inalámbrica (SSID)
  • En la interfaz de configuración avanzada del módem (http:/10.0.0.2/admin.html), cambiar la dirección IP interna del módem de 10.0.0.2 a cualquier dirección aleatoria en el rango 10.0.0.1-10.255.255.254 y cambiar la máscara de red a 255.0.0.0. Este cambio hará que la interfaz web de configuración del módem pase a estar accesible en una dirección IP distinta de la configurada por defecto por Telecom Argentina. El usuario deberá recordar la nueva dirección IP que eligió para poder realizar cualquier otra tarea de configuración del módem. Estos cambios de configuración no resuelven los problemas descritos pero reducen la probabilidad de explotación directa vía red inalámbrica.

7. Atribuciones

Los problemas descritos en esta advertencia de seguridad fueron descubiertos e investigados por Andrés Blanco de Core Security Technologies.
Una vulnerabilidad de Cross Site Scripting igual a la reportada en esta advertencia de seguridad fue reportada en dispositivos COMTREND por Daniel Fernández Bleda de isecauditors.com y publicada en Diciembre de 2007[1].

8. Descripción Técnica y Código para Prueba de Concepto

Los módems ADSL con punto de acceso inalámbrico Pirelli DRG A125G provistos por Telecom Argentina a los clientes de su servicio Arnet WiFi incluyen una serie de vulnerabilidades que dejan a sus usuarios expuestos a ataques informáticos desde la Internet o desde la red inalámbrica local creada por el punto de acceso provisto. Ataques que combinen las vulnerabilidades descritas a continuación permitirían al atacante obtener credenciales de acceso a la cuenta de Arnet de los usuarios vulnerables, administrar remotamente los dispositivos vulnerables y obtener información sensible de los clientes del servicio. Adicionalmente, todo ello facilitaría y dejaría expuestos a ataques directos a los equipos de los usuarios del servicio Arnet WiFi.

8.1. La configuración de seguridad inalámbrica por defecto es insegura

[CVE-2010-3265 | N/A] Los módems ADSL con soporte para redes inalámbricas 802.11 (WiFi) instalados por Arnet tiene una configuración insegura por defecto. En particular, se utiliza el nombre Arnet WiFi como identificador de servicio inalámbrico (SSID) fijo para todas las instalaciones. Por defecto, la seguridad de la red inalámbrica está basada en el uso del sistema de cifrado WEP [2] de 64 bits con la clave fija ARNET en todas las instalaciones.
El uso del mismo SSID y una clave fija en todas las instalaciones es de por sí una vulnerabilidad pero en este caso es un detalle poco relevante ya que se ha demostrado que el sistema de cifrado WEP está completamente roto desde hace años y dado que la configuración por defecto de los módems ADSL de Arnet Wifi utiliza WEP es posible conectarse en cuestión de minutos a la red inalámbrica interna usando cualquiera de los múltiples ataques conocidos públicamente[3] sin necesidad de conocer de antemano la clave WEP configurada.

8.2. La aplicación web de configuración del modem ADSL no requiere autenticación

[CVE-2010-2894 | N/A] La configuración por defecto de los módems ADSL+WiFi vulnerables tiene habilitada la interfaz de administración del módem vía un web server en la dirección IP 10.0.0.2 puerto 80/tcp. En su configuración por defecto esta interfaz sólo es accesible desde una red interna ya sea cableada o inalámbrica. No obstante ello, la página de administración básica del módem no requiere autenticación. El código fuente de esta página incluye las credenciales de autenticación del usuario al servicio ADSL del proveedor. Dichas credenciales (usuario y contraseña) son enviadas al navegador del cliente y usadas por un manejador para el evento onLoad que completa un formulario de configuración de manera automática sin requerir la intervención del usuario. Dado que no se requiere autenticación alguna para acceder a esta página cualquier atacante con acceso a la red interna ya sea cableada o inalámbrica (por ejemplo vía [CVE-2010-3265 | N/A]) puede acceder a la página de configuración básica del módem y obtener las credenciales de autenticación del usuario del servicio ADSL. La obtención de dichas credenciales y la ejecución de operaciones de configuración pueden ser realizadas de forma automática sin intervención del usuario por medio de cualquier script que se ejecute en el navegador del cliente. En este sentido, la presencia de alguna vulnerabilidad de Cross Site Scripting en la aplicación de gestión del equipo tendrá su impacto agravado dado que su explotación haría posible comprometer las credenciales de acceso del usuario al servicio ADSL del proveedor.

8.3. Vulnerabilidad de Cross Site Scripting en la página configuración básica

[CVE-2010-2893 | N/A] La aplicación de configuración del módem ADSL tiene una vulnerabilidad de Cross-Site Scripting reflejado en la página de URL http://10.0.0.2/scvrtsrv.cmd en el parámetro srvName. El siguiente URL puede ser usado para reproducir el problema:

http://10.0.0.2/scvrtsrv.cmd?action=add&srvName=%3Cscript%3Ealert(10)%3C/script%3E&srvAddr=10.0.0.15&proto=1,&eStart=200,&eEnd=200,&iStart=200,&iEnd=200,

8.4. Vulnerabilidades de Cross Site Scripting en la página de configuración avanzada

[CVE-2010-2893 | N/A] La aplicación de configuración del módem ADSL tiene vulnerabilidades de Cross-Site Scripting reflejado en la página de URL http://10.0.0.2/ddnsmngr.cmd en los parámetros hostname y username. Si bien la aplicación requiere autenticación básica para acceder al URL vulnerable las credenciales de autenticación son fijas y las mismas en la configuración por defecto de todos los equipos vulnerables. Los siguientes URLs pueden ser usados para reproducir el problema:

http://10.0.0.2/ddnsmngr.cmd?action=add&service=1&username=Test&password=Test&hostname=%3Cscript%3Ealert(10)%3C/script%3E&iface=ppp_0_0_33_1 
http://10.0.0.2/ddnsmngr.cmd?action=add&service=1&username=%3Cscript%3Ealert(10)%3C/script%3E&password=Test&hostname=Test&iface=ppp_0_0_33_1

8.5. Uso de credenciales de autenticación fijas

[CVE-2010-2895 | N/A] Las credenciales de autenticación al servicio de acceso a Internet están fijas en el documento HTML enviado por el módem ADSL al navegador del usuario cuando este accede a la página de configuración básica. Dichas credenciales se auto-completan en el formulario de configuración del servicio. Dado que no se requiere autenticación con el dispositivo para cambiar su configuración básica obtener las credenciales de autenticación de clientes de Arnet Wifi es trivial para un atacante con acceso a la red inalámbrica o interna. La aplicación de configuración del módem ADSL requiere autenticación para acceder a algunos de los URLs de configuración avanzada del equipo. Sin embargo, todos los equipos vulnerables descritos en esta advertencia de seguridad están configurados con las mismas credenciales fijas para la autenticación del administrador (nombre de usuario y clave). Dado que dichas credenciales son de conocimiento público la explotación de vulnerabilidades en la aplicación de configuración del módem es trivial aún en el caso de los URLs vulnerables con una configuración de control de acceso que requiere credenciales de autenticación de administrador.

9. Cronología del Reporte

  • 2010-07-28: Inicio de la búsqueda de información de contacto de seguridad de Arnet.
  • 2010-08-25: Ante la ausencia de información pública oficial de Telecom Argentina sobre cómo y a quien reportar problemas de seguridad, Core envía un email a ArCERT solicitando información de contacto de Telecom Argentina que reciba reportes de problemas de seguridad del servicio Arnet.
  • 2010-08-25: ArCERT responde con los datos (Nombre, email, teléfono) del analista de seguridad de la Gerencia de Aseguramiento de Servicios de Nueva Generación de Telecom Argentina que normalmente recibe los reportes de abuso de los servicios de Telecom.
  • 2010-08-26: Contacto inicial vía telefónica con un analista de seguridad de la Gerencia de Aseguramiento de Servicios de Nueva Generación de Telecom Argentina.
  • 2010-09-29: Envío del reporte con el detalle técnico de las vulnerabilidades encontradas requiriendo un acuse de recibo dentro de los 2 días hábiles. El correo electrónico enviado a Telecom Argentina incluyo una descripción detallada de las políticas y procedimientos de Core para el reporte y publicación vulnerabilidades. La publicación de la advertencia de seguridad es programada para el 26 de Octubre del 2010 pero sujeta a cambios en la medida que Telecom Argentina coordine con Core la implementación de soluciones.
  • 2010-10-21: Nuevo contacto vía telefónica con un analista de seguridad de la Gerencia de Aseguramiento de Servicios de Nueva Generación de Telecom Argentina requiriendo acuse de recibo del reporte enviado el 23 de Septiembre del 2010. Contacto vía cuenta de correo electrónico no institucional con otra analista de seguridad de Telecom Argentina requiriendo información sobre a quien reportarle problemas de seguridad en Telecom Argentina.
  • 2010-10-21: Re-envío del reporte de vulnerabilidades enviado originalmente el 29 de Septiembre a las direcciones de correo electrónico de Telecom Argentina los dos analistas de seguridad contactados previamente reiterando la fecha programada de publicación, las políticas y procedimientos de Core al respecto y solicitando acuse de recibo en un plazo de dos días hábiles.
  • 2010-10-26: Email a los dos analistas de seguridad de Telecom Argentina contactados previamente informando que ante la ausencia del acuse de recibo solicitado y de cualquier otra comunicación al respecto de Telecom Argentina, Core decidió re-programar la publicación de la advertencia de seguridad para el 4 de Noviembre de 2010. Esta fecha solo será modificada en la medida que Telecom Argentina se comunique con Core y exprese su intención de solucionar con un plan concreto con plazos razonables los problemas de seguridad por los que actualmente está exponiendo a sus usuarios a ataques informáticos. En caso de no recibir respuesta de Telecom Argentina, Core publicará la advertencia de seguridad unilateralmente y elaborará e incluirá las recomendaciones que juzgue más apropiadas para que los usuarios vulnerables puedan mitigar por si mismos el riesgo al que Telecom Argentina los está exponiendo.
  • 2010-11-18: Email al Gerente de Seguridad Informática de Telecom Argentina informado acerca de todos los intentos fallidos previos de reportar las vulnerabilidades y coordinar su resolución. En caso de no recibir respuesta de Telecom Argentina, Core publicará la advertencia de seguridad unilateralmente y elaborará e incluirá las recomendaciones que juzgue más apropiadas para que los usuarios vulnerables puedan mitigar por si mismos el riesgo al que Telecom Argentina los está exponiendo. Se re-programa la publicación para el 24 de Noviembre.
  • 2010-11-18: El email enviado al Gerente de Seguridad Informática rebota
  • 2010-11-19: Email al Gerente de Infraestructura de Seguridad Informática de Telecom Argentina informado de los previos intentos fallidos de comunicación e incluyendo el reporte técnico de las vulnerabilidades.
  • 2010-11-24: Publicación de la advertencia de seguridad re-programada para el 1ro de Diciembre 2010.
  • 2010-12-01: Carta documento enviada a los Gtes. de Seguridad Informática y de Infraestructura de Seguridad Informática de Telecom Argentina detallando las comunicaciones previas y poniendo a su disposición el reporte de vulnerabilidades.
  • 2010-12-01: Publicación de la advertencia de seguridad

10. Referencias

[1] Daniel Fernández Bleda, "Multiple vulnerabilities in WiFi router COMTREND CT-536/HG-536+", Internet Security Auditors, 31 de Enero de 2007.
http://www.isecauditors.com/es/advisories07.html#2007-002
[2] Wired Equivalent Privacy
http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy
[3] Erik Tews, "Attacks on the WEP protocol, Tesis de Diploma", Departamento de Ciencias de la Computación Teórica, TU Darmstadt, Diciembre 2007.
http://eprint.iacr.org/2007/471.pdf

11. Acerca de CoreLabs

CoreLabs, el centro de investigación de Core Security Technologies, tiene la misión de anticipar las necesidades y requerimientos futuros de las tecnologías de seguridad de la información. Desarrollamos investigación en múltiples áreas importantes de seguridad informática incluyendo, entre otras: Vulnerabilidades en sistemas, planeamiento y simulación de ataques informáticos, auditoría de código fuente y criptografía. Nuestros resultados abarcan formalización de los problemas, identificación de vulnerabilidades, desarrollo de soluciones innovadoras y de prototipos de nuevas tecnologías. CoreLabs publica periódicamente advertencias de seguridad, artículos y reportes técnicos, información actualizada sobre proyectos de investigación y herramientas de seguridad de uso público y gratuito en su sitio de Internet: http://corelabs.coresecurity.com/.

12. Acerca de Core Security Technologies

Core Security Technologies permite a las organizaciones adelantarse a las amenazas informáticas que generan riesgos críticos de negocio. Las soluciones automatizadas de evaluación y medición de Core Security permiten replicar amenazas reales a las empresas, revelando dónde y cómo los ataques pueden acceder a la información corporativa más valiosa atravesando las distintas capas de IT. Como resultado de esto, nuestros clientes adquieren visibilidad sin precedentes a peligros informáticos y pueden medir su nivel de riesgos en forma continua. Todas estas soluciones de evaluación de la seguridad son respaldadas por el reconocido nivel de investigación de vanguardia y la experiencia en vulnerabilidades y amenazas de los equipos de Consultoría de Seguridad, CoreLabs y Desarrollo de la compañía. 
Core Security Technologies está basada en Boston, Massachusetts, y Buenos Aires. Para mayor información llamar al (54 11) 5556-CORE (2673) o visitar su página web https://www.coresecurity.com.

13. Disclaimer

Todos los derechos sobre este documento pertenecen a (c) 2010 Core Security Technologies y (c) 2010 CoreLabs, el documento se publica bajo la licencia Creative Commons Attribution Non-Commercial Share-Alike 3.0:http://creativecommons.org/licenses/by-nc-sa/3.0/deed.es_AR

14. Clave PGP/GPG

Esta advertencia de seguridad está firmada con la clave pública GPG del equipo de Security Advisories de Core Security Technologies. La clave pública del equipo está disponible en:https://www.coresecurity.com/files/attachments/core_security_advisories.asc