[LACNIC/Seguridad] Fwd: [CORE-2010-0715] Vulnerabilidades de Arnet WiFi

Fernando Gont fernando en gont.com.ar
Lun Dic 6 01:20:58 BRST 2010


Estimados,

FYI. (Arnet es uno de los mas grandes ISP de Argentina)

Saludos cordiales,
Fernando Gont




-------- Original Message --------
Subject: [CORE-2010-0715] Vulnerabilidades de Arnet WiFi
Date: Fri, 3 Dec 2010 09:26:47 -0800 (PST)
From: Core Security Technologies Advisories <advisories en coresecurity.com>

Core Security Technologies - CoreLabs Advisory
            http://corelabs.coresecurity.com/

Vulnerabilidades de Arnet WiFi



1. *Información sobre esta Advertencia de Seguridad*

Title: Vulnerabilidades de Arnet WiFi
Advisory Id: CORE-2010-0715
Advisory URL:
[http://www.coresecurity.com/content/vulnerabilidades-arnet-wifi]
Date published: 2010-12-01
Date of last update: 2010-12-03
Vendors contacted: Telecom Argentina
Release mode: User release



2. *Información sobre las vulnerabilidades*

Class: Improper Neutralization of Input during Web Page Generation
(Cross Site Scripting) [CWE-79], Improper Access Control
(Authorization) [CWE-285], Use of Hard-coded Credentials [CWE-798],
Use
of a Broken or Risky Crytographic Algorithm [CWE-327]
Impact: Security bypass
Remotely Exploitable: Yes
Locally Exploitable: No
CVE Name: CVE-2010-2893, CVE-2010-2894, CVE-2010-2895, CVE-2010-3265
Bugtraq ID: N/A, N/A, N/A, N/A



3. *Descripción general de las vulnerabilidades*

Una combinación de vulnerabilidades y debilidades en la configuración
por defecto de algunos modelos de dispositivos de red usados por Arnet
WiFi para proveer servicio de Internet ADSL con soporte para redes
locales inalámbricas deja sus usuarios expuestos a ataques
informáticos. Mediante la explotación de las vulnerabilidades
descritas
es posible obtener las credenciales de acceso al servicio y otra
información confidencial de los usuarios vulnerables. La ejecución
exitosa de un ataque sólo requiere que el usuario vulnerable haga clic
en un link aparentemente inocuo o que visite un sitio web controlado
total o parcialmente por el atacante.


4. *Versiones Afectadas*

    . Equipos Pirelli DRG A125G provistos a clientes de Arnet Wifi
    . Otras marcas y modelos de equipos provistos por Arnet podrían
estar afectados pero esto no ha sido verificado.


5. *Versiones No Afectadas*

    . Información no disponible a la fecha de publicación


6. *Información del proveedor, soluciones y recomendaciones*

Telecom Argentina no ha dado ninguna información sobre cómo solucionar
los problemas de seguridad descritos en este documento a los que están
expuestos sus usuarios y no hay ningún indicio de un plan para
hacerlo.
Clientes de Arnet WiFi potencialmente vulnerables pueden contactarse
directamente con el Centro de Atención al Cliente de Arnet vía
telefónica al 0800-555-9999 o a través de su página web de soporte
[http://arnetonline.arnet.com.ar/apps/arnet_online/contacto].
  Es recomendable aplicar los siguientes cambios a la configuración
del
módem ADSL-WiFi para reducir el riesgo a ataques que exploten las
vulnerabilidades descritas en este documento:


    . Cambiar el nombre de la red inalámbrica (SSID)
    . En Opciones Avanzadas-Seguridad WiFi cambiar el método de
autenticación a WPA2-PSK
    . En Opciones Avanzadas-Seguridad WiFi cambiar el método de
encripción a PSK:AES
    . Deshabilitar la transmisión de SSID marcando la casilla Ocultar
el nombre de la red inalámbrica (SSID)
    . En la interfaz de configuración avanzada del módem
('http:/10.0.0.2/admin.html'), cambiar la dirección IP interna del
módem de 10.0.0.2 a cualquier dirección aleatoria en el rango
10.0.0.1-10.255.255.254 y cambiar la máscara de red a 255.0.0.0. Este
cambio hará que la interfaz web de configuración del módem pase a
estar
accesible en una dirección IP distinta de la configurada por defecto
por Telecom Argentina. El usuario deberá recordar la nueva dirección
IP
que eligió para poder realizar cualquier otra tarea de configuración
del módem. *Estos cambios de configuración no resuelven los problemas
descritos pero reducen la probabilidad de explotación directa vía red
inalámbrica.*


7. *Atribuciones*

Los problemas descritos en esta advertencia de seguridad fueron
descubiertos e investigados por Andrés Blanco de Core Security
Technologies.
Una vulnerabilidad de Cross Site Scripting igual a la reportada en
esta
advertencia de seguridad fue reportada en dispositivos COMTREND por
Daniel Fernández Bleda de isecauditors.com y publicada en Diciembre de
2007 [1].


8. *Descripción Técnica y Código para Prueba de Concepto*

Los módems ADSL con punto de acceso inalámbrico Pirelli DRG A125G
provistos por Telecom Argentina a los clientes de su servicio Arnet
WiFi incluyen una serie de vulnerabilidades que dejan a sus usuarios
expuestos a ataques informáticos desde la Internet o desde la red
inalámbrica local creada por el punto de acceso provisto. Ataques que
combinen las vulnerabilidades descritas a continuación permitirían al
atacante obtener credenciales de acceso a la cuenta de Arnet de los
usuarios vulnerables, administrar remotamente los dispositivos
vulnerables y obtener información sensible de los clientes del
servicio. Adicionalmente, todo ello facilitaría y dejaría expuestos a
ataques directos a los equipos de los usuarios del servicio Arnet
WiFi.



8.1. *La configuración de seguridad inalámbrica por defecto es
insegura*

[CVE-2010-3265 | N/A] Los módems ADSL con soporte para redes
inalámbricas 802.11 (WiFi) instalados por Arnet tiene una
configuración
insegura por defecto. En particular, se utiliza el nombre *Arnet WiFi*
como identificador de servicio inalámbrico (SSID) fijo para todas las
instalaciones. Por defecto, la seguridad de la red inalámbrica está
basada en el uso del sistema de cifrado WEP [2] de 64 bits con la
clave
fija *ARNET* en todas las instalaciones.
  El uso del mismo SSID y una clave fija en todas las instalaciones es
de por sí una vulnerabilidad pero en este caso es un detalle poco
relevante ya que se ha demostrado que el sistema de cifrado WEP está
*completamente roto* desde hace años y dado que la configuración por
defecto de los módems ADSL de Arnet Wifi utiliza WEP es posible
conectarse en cuestión de minutos a la red inalámbrica interna usando
cualquiera de los múltiples ataques conocidos públicamente [3] sin
necesidad de conocer de antemano la clave WEP configurada.


8.2. *La aplicación web de configuración del modem ADSL no requiere
autenticación*

[CVE-2010-2894 | N/A] La configuración por defecto de los módems
ADSL+WiFi vulnerables tiene habilitada la interfaz de administración
del módem vía un web server en la dirección IP 10.0.0.2 puerto 80/tcp.
En su configuración por defecto esta interfaz sólo es accesible desde
una red interna ya sea cableada o inalámbrica. No obstante ello, la
página de administración básica del módem no requiere autenticación.
El
código fuente de esta página incluye las credenciales de autenticación
del usuario al servicio ADSL del proveedor. Dichas credenciales
(usuario y contraseña) son enviadas al navegador del cliente y usadas
por un manejador para el evento 'onLoad' que completa un formulario de
configuración de manera automática sin requerir la intervención del
usuario. Dado que no se requiere autenticación alguna para acceder a
esta página cualquier atacante con acceso a la red interna ya sea
cableada o inalámbrica (por ejemplo vía [CVE-2010-3265 | N/A]) puede
acceder a la página de configuración básica del módem y obtener las
credenciales de autenticación del usuario del servicio ADSL. La
obtención de dichas credenciales y la ejecución de operaciones de
configuración pueden ser realizadas de forma automática sin
intervención del usuario por medio de cualquier script que se ejecute
en el navegador del cliente. En este sentido, la presencia de alguna
vulnerabilidad de Cross Site Scripting en la aplicación de gestión del
equipo tendrá su impacto agravado dado que su explotación haría
posible
comprometer las credenciales de acceso del usuario al servicio ADSL
del
proveedor.


8.3. *Vulnerabilidad de Cross Site Scripting en la página
configuración
básica*

[CVE-2010-2893 | N/A] La aplicación de configuración del módem ADSL
tiene una vulnerabilidad de Cross-Site Scripting reflejado en la
página
de URL 'http://10.0.0.2/scvrtsrv.cmd' en el parámetro 'srvName'. El
siguiente URL puede ser usado para reproducir el problema:


 /-----

http://10.0.0.2/scvrtsrv.cmd?action=add&srvName=%3Cscript%3Ealert(10)%3C/script%3E&srvAddr=10.0.0.15&proto=1,&eStart=200,&eEnd=200,&iStart=200,&iEnd=200,

 -----/



8.4. *Vulnerabilidades de Cross Site Scripting en la página de
configuración avanzada*

[CVE-2010-2893 | N/A] La aplicación de configuración del módem ADSL
tiene vulnerabilidades de Cross-Site Scripting reflejado en la página
de URL 'http://10.0.0.2/ddnsmngr.cmd' en los parámetros 'hostname' y
'username'. Si bien la aplicación requiere autenticación básica para
acceder al URL vulnerable las credenciales de autenticación son fijas
y
las mismas en la configuración por defecto de todos los equipos
vulnerables. Los siguientes URLs pueden ser usados para reproducir el
problema:


 /-----

http://10.0.0.2/ddnsmngr.cmd?action=add&service=1&username=Test&password=Test&hostname=%3Cscript%3Ealert(10)%3C/script%3E&iface=ppp_0_0_33_1

http://10.0.0.2/ddnsmngr.cmd?action=add&service=1&username=%3Cscript%3Ealert(10)%3C/script%3E&password=Test&hostname=Test&iface=ppp_0_0_33_1

 -----/



8.5. *Uso de credenciales de autenticación fijas*

[CVE-2010-2895 | N/A] Las credenciales de autenticación al servicio de
acceso a Internet están fijas en el documento HTML enviado por el
módem
ADSL al navegador del usuario cuando este accede a la página de
configuración básica. Dichas credenciales se auto-completan en el
formulario de configuración del servicio. Dado que no se requiere
autenticación con el dispositivo para cambiar su configuración básica
obtener las credenciales de autenticación de clientes de Arnet Wifi es
trivial para un atacante con acceso a la red inalámbrica o interna. La
aplicación de configuración del módem ADSL requiere autenticación para
acceder a algunos de los URLs de configuración avanzada del equipo.
Sin
embargo, todos los equipos vulnerables descritos en esta advertencia
de
seguridad están configurados con las mismas credenciales fijas para la
autenticación del administrador (nombre de usuario y clave). Dado que
dichas credenciales son de conocimiento público la explotación de
vulnerabilidades en la aplicación de configuración del módem es
trivial
aún en el caso de los URLs vulnerables con una configuración de
control
de acceso que requiere credenciales de autenticación de
administrador.


9. *Cronología del Reporte*

. 2010-07-28:
Inicio de la búsqueda de información de contacto de seguridad de
Arnet.


. 2010-08-25:
Ante la ausencia de información pública oficial de Telecom Argentina
sobre cómo y a quien reportar problemas de seguridad, Core envía un
email a ArCERT solicitando información de contacto de Telecom
Argentina
que reciba reportes de problemas de seguridad del servicio Arnet.

. 2010-08-25:
ArCERT responde con los datos (Nombre, email, teléfono) del analista
de
seguridad de la Gerencia de Aseguramiento de Servicios de Nueva
Generación de Telecom Argentina que normalmente recibe los reportes de
abuso de los servicios de Telecom.

. 2010-08-26:
Contacto inicial vía telefónica con un analista de seguridad de la
Gerencia de Aseguramiento de Servicios de Nueva Generación de Telecom
Argentina.

. 2010-09-29:
Envío del reporte con el detalle técnico de las vulnerabilidades
encontradas requiriendo un acuse de recibo dentro de los 2 días
hábiles. El correo electrónico enviado a Telecom Argentina incluyo una
descripción detallada de las políticas y procedimientos de Core para
el
reporte y publicación vulnerabilidades. La publicación de la
advertencia de seguridad es programada para el 26 de Octubre del 2010
pero sujeta a cambios en la medida que Telecom Argentina coordine con
Core la implementación de soluciones.

. 2010-10-21:
Nuevo contacto vía telefónica con un analista de seguridad de la
Gerencia de Aseguramiento de Servicios de Nueva Generación de Telecom
Argentina requiriendo acuse de recibo del reporte enviado el 23 de
Septiembre del 2010. Contacto vía cuenta de correo electrónico no
institucional con otra analista de seguridad de Telecom Argentina
requiriendo información sobre a quien reportarle problemas de
seguridad
en Telecom Argentina.

. 2010-10-21:
Re-envío del reporte de vulnerabilidades enviado originalmente el 29
de
Septiembre a las direcciones de correo electrónico de Telecom
Argentina
los dos analistas de seguridad contactados previamente reiterando la
fecha programada de publicación, las políticas y procedimientos de
Core
al respecto y solicitando acuse de recibo en un plazo de dos días
hábiles.

. 2010-10-26:
Email a los dos analistas de seguridad de Telecom Argentina
contactados
previamente informando que ante la ausencia del acuse de recibo
solicitado y de cualquier otra comunicación al respecto de Telecom
Argentina, Core decidió re-programar la publicación de la advertencia
de seguridad para el 4 de Noviembre de 2010. Esta fecha solo será
modificada en la medida que Telecom Argentina se comunique con Core y
exprese su intención de solucionar con un plan concreto con plazos
razonables los problemas de seguridad por los que actualmente está
exponiendo a sus usuarios a ataques informáticos. En caso de no
recibir
respuesta de Telecom Argentina, Core publicará la advertencia de
seguridad unilateralmente y elaborará e incluirá las recomendaciones
que juzgue más apropiadas para que los usuarios vulnerables puedan
mitigar por si mismos el riesgo al que Telecom Argentina los está
exponiendo.

. 2010-11-18:
Email al Gerente de Seguridad Informática de Telecom Argentina
informado acerca de todos los intentos fallidos previos de reportar
las
vulnerabilidades y coordinar su resolución. En caso de no recibir
respuesta de Telecom Argentina, Core publicará la advertencia de
seguridad unilateralmente y elaborará e incluirá las recomendaciones
que juzgue más apropiadas para que los usuarios vulnerables puedan
mitigar por si mismos el riesgo al que Telecom Argentina los está
exponiendo. Se re-programa la publicación para el 24 de Noviembre.

. 2010-11-18:
El email enviado al Gerente de Seguridad Informática rebota

. 2010-11-19:
Email al Gerente de Infraestructura de Seguridad Informática de
Telecom
Argentina informado de los previos intentos fallidos de comunicación e
incluyendo el reporte técnico de las vulnerabilidades.

. 2010-11-24:
Publicación de la advertencia de seguridad re-programada para el 1ro
de
Diciembre 2010.

. 2010-11-30:
Carta documento enviada a los Gtes. de Seguridad Informática y de
Infraestructura de Seguridad Informática de Telecom Argentina
detallando las comunicaciones previas y poniendo a su disposición el
reporte de vulnerabilidades.

. 2010-12-01:
Publicación de la advertencia de seguridad



10. *Referencias*

[1] Daniel Fernández Bleda, "Multiple vulnerabilities in WiFi router
COMTREND CT-536/HG-536+", Internet Security Auditors, 31 de Enero de
2007.
 [http://www.isecauditors.com/es/advisories07.html#2007-002]
[2] Wired Equivalent Privacy
 [http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy]
[3] Erik Tews, "Attacks on the WEP protocol, Tesis de Diploma",
Departamento de Ciencias de la Computación Teórica, TU Darmstadt,
Diciembre 2007.
 [http://eprint.iacr.org/2007/471.pdf]


11. *Acerca de CoreLabs*

CoreLabs, el centro de investigación de Core Security Technologies,
tiene la misión de anticipar las necesidades y requerimientos futuros
de las tecnologías de seguridad de la información. Desarrollamos
investigación en múltiples áreas importantes de seguridad informática
incluyendo, entre otras: Vulnerabilidades en sistemas, planeamiento y
simulación de ataques informáticos, auditoría de código fuente y
criptografía. Nuestros resultados abarcan formalización de los
problemas, identificación de vulnerabilidades, desarrollo de
soluciones
innovadoras y de prototipos de nuevas tecnologías. CoreLabs publica
periódicamente advertencias de seguridad, artículos y reportes
técnicos, información actualizada sobre proyectos de investigación y
herramientas de seguridad de uso público y gratuito en su sitio de
Internet: [http://corelabs.coresecurity.com/].


12. *Acerca de  Core Security Technologies*

Core Security Technologies permite a las organizaciones adelantarse a
las amenazas informáticas que generan riesgos críticos de negocio. Las
soluciones automatizadas de evaluación y medición de Core Security
permiten replicar amenazas reales a las empresas, revelando dónde y
cómo los ataques pueden acceder a la información corporativa más
valiosa atravesando las distintas capas de IT. Como resultado de esto,
nuestros clientes adquieren visibilidad sin precedentes a peligros
informáticos y pueden medir su nivel de riesgos en forma continua.
Todas estas soluciones de evaluación de la seguridad son respaldadas
por el reconocido nivel de investigación de vanguardia y la
experiencia
en vulnerabilidades y amenazas de los equipos de Consultoría de
Seguridad, CoreLabs y Desarrollo de la compañía.
  Core Security Technologies está basada en Boston, Massachusetts, y
Buenos Aires. Para mayor información llamar al (54 11) 5556-CORE
(2673)
o visitar su página web [http://www.coresecurity.com].


13. *Disclaimer*

Todos los derechos sobre este documento pertenecen a (c) 2010 Core
Security Technologies y (c) 2010 CoreLabs, el documento se publica
bajo
la licencia Creative Commons Attribution Non-Commercial Share-Alike
3.0: [http://creativecommons.org/licenses/by-nc-sa/3.0/deed.es_AR]


14. *Clave PGP/GPG*

Esta advertencia de seguridad está firmada con la clave pública GPG
del
equipo de Security Advisories de Core Security Technologies. La clave
pública del equipo está disponible en:
[http://www.coresecurity.com/files/attachments/
core_security_advisories.asc]






Más información sobre la lista de distribución Seguridad